ゼロトラストを実装する

Well-Architected Framework のセキュリティの柱におけるこの原則は、クラウド ワークロード全体で包括的なセキュリティを確保するうえで役立ちます。Google Cloud ゼロトラストの原則では、次のプラクティスが重視されます。

• 暗黙的な信頼を排除する
• アクセス制御に最小権限の原則を適用する
• すべてのアクセス リクエストの明示的な検証を強制する
• 継続的な検証とセキュリティ ポスチャーのモニタリングを可能にするために、 侵害を前提とする考え方を取り入れる

原則の概要

ゼロトラストモデルでは、セキュリティの焦点が境界ベースのセキュリティから、ユーザーやデバイスが本質的に信頼できるとは見なされないアプローチに移行します。代わりに、発信元に関係なく、すべてのアクセス リクエストを検証する必要があります。このアプローチでは、すべてのユーザーとデバイスの認証と認可、コンテキスト（場所とデバイスのポスチャー）の検証を行い、必要なリソースにのみ最小権限のアクセスを許可します。

ゼロトラスト モデルを実装すると、組織は潜在的な侵害の影響を最小限に抑え、センシティブ データとアプリケーションを不正アクセスから保護することで、セキュリティ ポスチャーを強化できます。ゼロトラスト モデルは、クラウド内のデータとリソースの機密性、完全性、可用性を確保するのに役立ちます。

推奨事項

クラウド ワークロードにゼロトラスト モデルを実装するには、次のセクションの推奨事項を検討してください。

• ネットワークを保護する
• すべてのアクセス試行を明示的に検証する
• ネットワークをモニタリングして維持する

ネットワークを保護する

この推奨事項は、次の 重点分野に関連しています。 インフラストラクチャのセキュリティ。

従来の境界ベースのセキュリティからゼロトラスト モデルに移行するには、複数の手順が必要です。組織は、すでにゼロトラストの管理策をセキュリティ ポスチャーに統合している可能性があります。ただし、ゼロトラスト モデルは単一のプロダクトやソリューションではありません。複数のセキュリティ レイヤとベスト プラクティスを包括的に統合したものです。このセクションでは、ネットワーク セキュリティにゼロトラストを実装するための推奨事項と手法について説明します。

• アクセス制御: Chrome Enterprise Premium や Identity-Aware Proxy（IAP） などのソリューションを使用して、ユーザー ID とコンテキストに基づいてアクセス制御を適用します。これにより、セキュリティがネットワーク境界から個々のユーザーとデバイスに移行します。このアプローチにより、きめ細かいアクセス制御が可能になり、攻撃対象領域が縮小されます。
• ネットワーク セキュリティ: オンプレミス環境、 Google Cloud環境、マルチクラウド環境間のネットワーク接続を保護します。
  • Cloud Interconnect と IPsec VPN のプライベート接続方法を使用します。
  • サービスと API へのアクセスを保護するには、 Private Service Connect を使用します。 Google Cloud
  • Google Kubernetes Engine（GKE）と関連プロダクトにデプロイされたワークロードからのアウトバウンド アクセスを保護するには、Cloud Service Mesh の下り（外向き）ゲートウェイを使用します。
• ネットワーク設計: 既存のプロジェクトでデフォルト ネットワークを削除し、新しいプロジェクトでデフォルト ネットワークの作成を無効にすることで、潜在的なセキュリティ リスクを防ぎます。
  • 競合を避けるため、ネットワークと IP アドレスの割り振りを慎重に計画します。
  • 効果的なアクセス制御を適用するには、プロジェクトあたりの Virtual Private Cloud（VPC）ネットワーク数を制限します。
• セグメンテーション: ワークロードを分離しますが、ネットワーク管理は一元化します。
  • ネットワークをセグメント化するには、 共有 VPC を使用します。
  • 組織、フォルダ、VPC ネットワークのレベルで、ファイアウォール ポリシーとルールを定義します。
  • データの引き出しを防ぐため、 VPC Service Controls を使用して、機密データとサービスの周囲に安全な境界を確立します。
• 境界セキュリティ: DDoS 攻撃とウェブ アプリケーションの 脅威から保護します。
  • 脅威から保護するには、 Google Cloud Armorを使用します。
  • エッジでトラフィックを許可、拒否、リダイレクトするようにセキュリティ ポリシーを構成します。Google Cloud
• 自動化: インフラストラクチャのプロビジョニングを自動化するには、 Infrastructure as Code（IaC）の原則を採用し、Terraform、 Jenkins、および Cloud Buildなどのツールを使用します。 IaC は、一貫したセキュリティ構成、デプロイの簡素化、問題発生時の迅速なロールバックに役立ちます。
• 安全な基盤: エンタープライズ基盤のブループリントを使用して、安全なアプリケーション環境を確立します。このブループリントには、セキュリティのベスト プラクティスを実装し、リソースを安全に構成するための規範的なガイダンスと自動化スクリプトが 用意されています。 Google Cloud

すべてのアクセス試行を明示的に検証する

この推奨事項は、次の 重点分野に関連しています。

• ID とアクセスの管理
• セキュリティ運用（SecOps）
• ロギング、監査、モニタリング

クラウド リソースにアクセスしようとするユーザー、デバイス、サービスに対して、強力な認証メカニズムと認可メカニズムを実装します。場所やネットワーク境界をセキュリティ管理に依存しないでください。ネットワーク内にすでに存在する場合でも、ユーザー、デバイス、サービスを自動的に信頼しないでください。 代わりに、リソースにアクセスしようとするたびに、厳格な認証と認可を行う必要があります。多要素認証（MFA）などの強力な本人確認対策を実装する必要があります。また、アクセス権判定が、ユーザー ロール、デバイスのポスチャー、場所など、さまざまなコンテキスト要因を考慮したきめ細かいポリシーに基づいて行われるようにする必要があります。

この推奨事項を実装するには、次の方法、ツール、テクノロジーを使用します。

• 統合 ID 管理: 単一の ID プロバイダ（IdP）を使用して、組織全体で一貫した ID 管理を確保します。
  • Google Cloud は、 オンプレミスの Active Directory を含むほとんどの IdP との連携をサポートしています。 連携により、既存の ID 管理インフラストラクチャを に Google Cloud 拡張し、ユーザーのシングル サインオン（SSO）を有効にできます。
  • 既存の IdP がない場合は、 Cloud Identity Premium または Google Workspaceの使用を検討してください。
• サービス アカウントの権限の制限: サービス アカウントを 慎重に使用し、最小権限の原則を遵守します。
  • 各サービス アカウントが指定されたタスクを実行するために必要な権限のみを付与します。
  • Google Kubernetes Engine（GKE）で実行されるアプリケーション、または外部で実行されるアプリケーションがリソースに安全にアクセスするには、 Workload Identity 連携 を使用します Google Cloud 。
• 堅牢なプロセス: クラウド セキュリティのベスト プラクティスに合わせて ID プロセスを更新します。
  • 規制要件への準拠を確実にするため、ID ガバナンスを実装して、アクセス、リスク、ポリシー違反を追跡します。
  • アクセス制御ロールと権限の付与と監査を行う既存のプロセスを確認して更新します。
• 強力な認証: ユーザー認証に SSO を実装し、 特権アカウントに MFA を実装します。
  • Google Cloud は、セキュリティ強化のために、Titan セキュリティ キーなど、さまざまな MFA 手法をサポートしています。
  • ワークロード認証には、OAuth 2.0 または署名付き JSON ウェブトークン（JWT）を使用します。
• 最小権限: 最小権限の原則と職務分離の原則を適用することで、不正アクセスとデータ 侵害のリスクを最小限に抑えます。
  • ユーザー アクセスの過剰なプロビジョニングを避けます。
  • 機密性の高いオペレーションにジャストインタイム特権アクセスの実装を検討します。
• ロギング: 管理者アクティビティとデータアクセス アクティビティ の監査ロギングを有効にします。
  • 分析と脅威の検出を行うには、 Security Command Center Enterprise または Google Security Operationsを使用してログをスキャンします。
  • セキュリティのニーズとストレージ費用とのバランスを取るように、適切なログ保持ポリシーを構成します。

ネットワークをモニタリングして維持する

この推奨事項は、次の 重点分野に関連しています。

• ロギング、監査、モニタリング
• アプリケーションのセキュリティ
• セキュリティ運用（SecOps）
• インフラストラクチャのセキュリティ

セキュリティ対策を計画して実装する際は、攻撃者がすでに環境内に侵入していることを前提とします。このプロアクティブなアプローチでは、次の複数のツールと手法を使用してネットワークの可視化を実現します。

• ロギングとモニタリングの一元化: 一元化された ロギングとモニタリングを通じて、すべてのクラウド リソースからセキュリティ ログを収集して 分析します。

  • 通常のネットワーク動作のベースラインを確立し、異常を検出し、潜在的な脅威を特定します。
  • ネットワーク トラフィック フローを継続的に分析して、不審なパターンと潜在的な攻撃を特定します。

• ネットワーク パフォーマンスとセキュリティに関する分析情報: Network Analyzer などのツールを使用します。トラフィックをモニタリングして、通常使用されないプロトコル、予期しない接続、データ転送の急増がないか確認します。これらは悪意のあるアクティビティを示している可能性があります。

• 脆弱性のスキャンと修復: ネットワークとアプリケーションの脆弱性を定期的にスキャンします。

  • Web Security Scanner を使用すると、Compute Engine インスタンス、コンテナ、GKE クラスタの脆弱性を自動的に特定できます。
  • 脆弱性の重大度とシステムに対する潜在的な影響に基づいて、修復の優先順位を付けます。

• 侵入検知: Cloud IDS と Cloud NGFW 侵入防止サービスを使用して、ネットワーク トラフィックで悪意のあるアクティビティをモニタリングし、不審なイベントを自動的にブロックまたはアラートします。

• セキュリティ分析: Google SecOps を実装して、さまざまなソースからのセキュリティ イベントを関連付け、 セキュリティ アラートのリアルタイム分析を行い、インシデント対応を容易にすることを検討します。

• 一貫した構成: 構成管理ツールを使用して、ネットワーク全体で一貫したセキュリティ 構成を確保します。