GCP セキュリティ スキャンを実行して構成ミスを見つけるにはどうすればよいですか?

☁️ クラウド インフラストラクチャには、柔軟性、拡張性、高性能、手頃な価格などの利点があります。

Google Cloud Platform (GCP) のようなサービスに加入すると、同等の社内データセンターや関連インフラストラクチャの高額な資本コストやメンテナンスコストを心配する必要がなくなります。ただし、従来のオンプレミスのセキュリティ実践では、仮想環境に十分かつ迅速なセキュリティを提供できません。

境界セキュリティによって設備全体とリソースが保護されるオンプレミス データセンターとは異なり、多様なテクノロジーと場所を備えたクラウド環境の性質上、異なるアプローチが必要になります。通常、クラウド環境の分散型で動的な性質により、攻撃対象領域が増加します。

特に、クラウド プラットフォームとコンポーネントの構成に誤りがあると、資産が暴露されると同時に、隠れたセキュリティ リスクが増大します。場合によっては、開発者はソフトウェアの開発時にデータ ストアを開き、アプリケーションを市場にリリースするときにデータ ストアを開いたままにすることがあります。

したがって、セキュリティのベスト プラクティスに従うことに加えて、適切な構成を確保し、継続的な監視、可視性、およびコンプライアンスを提供する必要があります。

幸いなことに、いくつかのツールは、構成ミスを検出して防止し、GCP のセキュリティ体制を可視化し、他の脆弱性を特定して対処することでセキュリティを向上させるのに役立ちます。

更新: AWS セキュリティ スキャナーについては、この投稿を確認してください。

Google Cloud SCC

Google Cloud SCC は 、統合されたリスク分析およびダッシュボード システムであり、GCP のお客様が自社のセキュリティ体制を理解し、クラウド リソースと資産を保護するための是正措置を一元的に実行できるようにします。

Cloud SCC (Security Command Center) は、Google クラウド環境で実行されている資産や危険な構成ミスを可視化し、チームが脅威にさらされるリスクを軽減できるようにします。また、包括的なセキュリティおよびデータ リスク管理ツールは、GCP クライアントがセキュリティのベスト プラクティスを実施するのに役立ちます。

基本的なコマンド センターは、Google のいくつかのセキュリティ ツールで構成されています。ただし、これは、セキュリティを強化し、コンポーネント、リスク、プラクティスに関する適用範囲を拡大するために、幅広いサードパーティ ツールと統合される柔軟なプラットフォームです。

特徴

• ファイアウォール、IAM ルールなど、設定が間違っている問題を表示して対処します。
• 脅威とコンプライアンス問題を検出、対応、防止します
• 混合コンテンツ、フラッシュ インジェクションなどのほとんどの脆弱性とリスクを特定し、結果を簡単に調査できます。
• VM、SQL インスタンス、バケット、データセットなどの公開資産を特定します。
• 資産の発見とインベントリ、脆弱性、機密データ、異常の特定、
• サードパーティのツールと統合して、侵害されたエンドポイント、ネットワーク攻撃、DDoS、ポリシーおよびコンプライアンス違反、インスタンスのセキュリティ脆弱性、脅威の特定と対処を強化します。

一般に、セキュリティ コマンド センターは、あらゆる組織のニーズを満たす柔軟なソリューションです。このツールは、Cloud Data Loss Prevention や Web Security Scanner などのさまざまな Google セキュリティ ツールや、McAfee、Qualys、CloudGuard などのサードパーティ セキュリティ ソリューションと統合します。

フォルセティ

Forseti はオープンソースであり、GCP 環境の可視化、脆弱性への対処、ポリシーとコンプライアンスの監視と理解に役立ちます。これは、個別に簡単に有効化、構成、実行できるさまざまなコア モジュールで構成されています。

Forseti の機能とカスタマイズを強化するためのアドオン モジュールもいくつかあります。

特徴

• GCP リソースを監視して、アクセス制御などのセキュリティ機能が導入され、不正な変更から保護されていることを確認します。
• リソースの棚卸を行い、GCP 環境を追跡します。
• セキュリティとファイアウォールのポリシーとルールを理解して適用する
• 設定を評価し、準拠していることを確認し、GCP リソースを公開しないようにします。
• ユーザーがリソースに対してどのようなアクセス権を持っているかを示すだけでなく、Cloud Identity and Access Management (Cloud IAM) ポリシーについて視覚的に洞察を得ることができます。
• GCP セキュリティ構造を理解し、ポリシー遵守と違反を特定するのに役立つビジュアライザーを備えています。

クラウドガード

CloudGuard は、GPC プラットフォームのセキュリティ体制を評価および視覚化するクラウドネイティブのエージェントレス セキュリティ ソリューションであり、チームがクラウド資産と環境を保護できるようにします。このソリューションは、コンピューティング エンジン、データベース、仮想マシン、その他のサービス、ネットワーク ファイアウォールなどを含むさまざまな資産を分析します。

特徴

• セキュリティ ポリシーとイベントを継続的に監視し、変更を検出し、コンプライアンスをチェックします。
• 構成ミス、脆弱性、関連するセキュリティ リスクを特定して対処します。
• セキュリティを強化し、コンプライアンスとベスト プラクティスを確保します。
• GCP ネットワーク資産の強力な可視化とセキュリティ体制
• GCP だけでなく、Amazon ウェブ サービスや Microsoft Azure などの他のパブリック クラウドともシームレスに統合します。
• 組織固有のセキュリティ ニーズに合わせたガバナンス ポリシーを適用します。

クラウドスプロイト

Cloudsploit は、 Google Cloud Platform だけでなく、Azure、AWS、Github、Oracle などの他のパブリック クラウド サービスのセキュリティ構成の問題をチェックし、自動的に検出する強力なソリューションです。

セキュリティ ソリューションは GCP プロジェクトに接続し、さまざまなコンポーネントのモニタリングを提供します。これにより、セキュリティの構成ミス、悪意のあるアクティビティ、公開された資産、その他の脆弱性を検出できます。

特徴

• 導入と使用が簡単な、アラート機能を備えたセキュリティ構成監視ソリューション
• 高速かつ信頼性の高い要点までのスキャンとレポート
• セキュリティ体制とコンプライアンスに関する洞察を提供します
• 権限、ロール、ネットワーク、証明書、使用傾向、認証、各種設定を分析しながらシステムをチェックします。
• アカウントレベルの概要を提供し、長期にわたる傾向と相対的なリスクレベルを確認して簡単に特定できるようにします。
• API ベースの設計により、ツールをさまざまな CISO ダッシュボードやその他のレポート システムと簡単に統合できます。

プリズマクラウド

Prisma Cloud は 、GCP 環境、アプリケーション、リソースのセキュリティとコンプライアンスの適切な実装と維持を保証するための統合されたクラウドネイティブ ソリューションです。

この包括的なツールには、GCP サービスとシームレスに統合する API があり、コンプライアンスの強制に加えて、継続的な分析情報、保護、レポートを提供します。

特徴

• 洞察、継続的な監視、脅威の検出、対応を提供する、包括的でスケーラブルな API ベースのセキュリティ ソリューション。
• 構成ミス、ワークロードの脆弱性、ネットワークの脅威、データ漏洩、安全でないユーザーアクティビティなどを特定して対処できる完全な可視性
• Google Cloud Platform 上で実行されるワークロード、コンテナ、アプリを保護します。
• アプリケーション、ユーザー、またはデバイスに基づいたセキュリティ ポリシーのカスタム適用。
• ガバナンス ポリシーと、NIST、CIS、GDPR、HIPAA、PCI を含む (ただしこれらに限定されない) 幅広い標準への準拠を簡単に施行します。

クラウドカストディアン

Cloud custodian は 、クラウドのセキュリティとガバナンスのための、オープンソースで柔軟かつ軽量のルール エンジンです。このソリューションを使用すると、GCP アカウントとリソースを安全に管理できます。セキュリティに加えて、統合ソリューションはリソースの使用状況を管理することでコストを最適化し、コストを節約できます。

特徴

• アクセス管理、ファイアウォール ルール、暗号化、タグ、ガベージ コレクション、自動化された営業時間外リソース管理などにおけるセキュリティ ポリシーとコンプライアンスのリアルタイムの適用。
• 統合されたメトリクスとレポートを提供します
• Google Cloud Platformの機能とシームレスに統合
• GCP AuditLog およびその他のサーバーレス機能を自動的にプロビジョニングします。

マカフィー MVISION

McAfee MVISION は、 Google Cloud SCC と統合して、チームに GCP リソースのセキュリティ体制を可視化し、脆弱性と脅威を検出して対処するセキュリティ ソリューションです。

また、クラウドネイティブ ソリューションは、セキュリティ チームが隠れたリスクを特定して対処できるようにする構成監査を提供します。 GCP クエリを強化するクラウド ポリシー エンジンを備えているため、さまざまな GCP サービス上のさまざまなセキュリティ構成ミスを検出できます。

特徴

• チームがセキュリティとコンプライアンスの問題を特定して対処するのに役立つ洞察を提供します。
• 包括的な構成監査を強化して隠れた脆弱性を発見し、チームがベスト プラクティスを実施できるようにします。
• チームがセキュリティ インシデント、異常、違反、脅威を調査できるようにするための可視性を提供し、クラウド セキュリティ コマンド センターでの迅速な是正措置を可能にします。
• セキュリティ上の脅威またはポリシー違反がある場合の通知。
• Google Cloud SCC ダッシュボードで脆弱性と脅威を視覚化します。

ネットスコープ

Netskope を 使用すると、デジタル資産を脅威や攻撃にさらすセキュリティの問題、脅威、構成ミスを迅速に特定して対処できます。

Netskope は、コンピューティング インスタンス、オブジェクト ストレージ、データベース、その他の資産を保護する点で GSCC を補完するだけでなく、さらに深く、より広範囲にわたって、構成ミス、高度な脅威、リスクについての洞察を提供します。

特徴

• Google クラウド プラットフォーム上の脅威、脆弱性、構成ミス、コンプライアンスに関する貴重なリアルタイムの可視性を獲得します。
• 脆弱性、構成ミス、コンプライアンス、セキュリティリスクを特定して対処します。
• セキュリティ構成を継続的に監視し、ベスト プラクティスと照らし合わせてチェックします。問題を特定し、ベスト プラクティスと CIS ベンチマークに基づいて標準を適用します。
• コンプライアンス レポート – GCP リソースのインベントリを作成し、構成ミスや異常を特定して報告します。

トリップワイヤー

Tripwire Cloud Cyber​​security は、 組織が効果的なセキュリティ構成と制御を実装できるようにする包括的なソリューションであり、デジタル資産の漏洩を防ぎます。構成管理、クラウド管理アセッサ (CMA)、ファイル整合性モニタリング機能を組み合わせて、GCP 上で公開されているリソースとデータを特定します。

主な特長

• 公開されている GCP ストレージ バケットまたはインスタンスを検出して対処し、適切な構成とデータ セキュリティを確保します。
• GCP 構成のデータを収集、分析し、スコア付けすることで、構成ミスを特定して対処できるようにします。
• GCP クラウドを侵害したり資産を公開したりする構成変更を監視する
• Tripwire クラウド管理評価者は、Google Cloud Platform の構成ミスを監視し、セキュリティ チームに修正を求める警告を発します。

スカウトスイート

Scout Suite は、 GCP およびその他のパブリック クラウド用のオープンソースのセキュリティ監査ツールです。これにより、セキュリティ チームは GCP 環境のセキュリティ体制を評価し、構成ミスやその他の脆弱性を特定できます。

Scout Suite 構成レビュー ツールは、Google が公開する API と簡単に連携して、セキュリティ体制データを収集および分析します。次に、特定された脆弱性を強調表示します。

アクアセキュリティ

Aqua Security は 、GCP やその他の AWS、Oracle Cloud、Azure に関する目に見える洞察を組織に提供するプラットフォームです。ポリシーとコンプライアンスの簡素化と強制に役立ちます。

Aqua は、Google の Cloud Security Command Center、その他のサードパーティ ソリューション、分析および監視ツールと統合します。これにより、セキュリティ、ポリシー、コンプライアンスを 1 か所から表示および管理できます。

特徴

• イメージ上の構成ミス、マルウェア、脆弱性をスキャンし、特定して対処します。
• アプリケーションのライフサイクル全体にわたってイメージの整合性を強制します
• 権限と、PCI、GDPR、HIPAA などのコンプライアンス標準を定義して強制します。
• GCP コンテナのワークロードに対する脅威の検出と軽減策を強化します。
• イメージ保証ポリシーを作成して適用し、侵害されたイメージ、脆弱なイメージ、または構成が間違っているイメージが Google Kubernetes Engine 環境で実行されるのを防ぎます。
• フォレンジックとコンプライアンスのための監査証跡を構築するのに役立ちます。
• 設定を継続的にスキャンして脆弱性や異常を検出します。

GCPバケツブルート

GCPBucketBrute は 、開いている Google ストレージ バケットや設定が間違っている Google ストレージ バケットを検出するための、カスタマイズ可能で効果的なオープンソース セキュリティ ソリューションです。一般に、これは Google ストレージ バケットを列挙して、安全でない構成や権限昇格があるかどうかを確認するスクリプトです。

特徴

• プラットフォーム上のクラウド インスタンス上でオープンな GCP バケットと危険な権限昇格を検出します。
• 検出されたすべてのバケットの権限を確認し、権限昇格に対して脆弱かどうかを判断します。
• Google クラウドペネトレーションテスト、レッドチームエンゲージメントなどに適しています。

クラウドセキュリティスイート

セキュリティ FTW Cloud Security Suite は、 GCP インフラストラクチャのセキュリティ体制を監査するためのもう 1 つのオープンソースです。オールインワン ソリューションは、GCP アカウントの構成とセキュリティを監査するのに役立ち、幅広い脆弱性を特定できます。

結論

Google Cloud Platform は、柔軟で拡張性の高い IT インフラストラクチャを提供します。ただし、他のクラウド環境と同様、正しく構成されていない場合は脆弱性が存在する可能性があります。悪意のある者がそれを悪用して、システムを侵害したり、データを盗んだり、マルウェアに感染したり、その他のサイバー攻撃を実行したりする可能性があります。

幸いなことに、企業は適切なセキュリティ慣行に従い、信頼性の高いツールを使用して保護し、継続的に監視し、構成と全体的なセキュリティ体制を可視化することで、GCP 環境を保護できます。