Googleがクラウドネイティブのセキュリティに対するアプローチを詳解

Googleのさまざまなホワイトペーパーは、同社が特定の問題をどのように解決するのかを、長年にわたって大規模に詳述してきた。それが、定期的に新しいスタートアップのエコシステムを生み出したり、他の企業が独自のツールを拡張する際の方針を左右することもある。米国時間の12月17日、同社はクラウドネイティブ・アーキテクチャをどのようにして安全に維持するかについて、詳しく説明した新しいセキュリティホワイトペーパーを公開した。

画像クレジット:Beata Zawrzel/NurPhoto/Getty Images

BeyondProdという名前が示すように、これは数年前に同社が最初に導入したBeyondCorpと呼ばれるゼロトラストシステムを拡張したもの。BeyondCorpが、セキュリティを、境界にあるVPNとファイアウォールから切り離し、個々のユーザーとデバイスに転嫁しようとするものだったのに対し、BeyondProdは、Googleのゼロトラストアプローチによって、マシン、ワークロード、サービスを接続する方法に焦点を合わせたものとなっている。

当然ながらBeyondProdも、BeyondCorpとほとんど同じ原則に基づいており、末端のネットワーク保護、サービス間の相互非信頼、既知のコードを実行するトラステッドマシン、自動化および標準化された更新のロールアウト、隔離されたワークロードを含むものとなっている。もちろん、これらはすべて、クラウドネイティブ・アプリケーションの保護に焦点を当てたもの。そうしたアプリは、一般にAPIを介して通信し、最新のインフラストラクチャ上で実行される。

「つまりこうしたコントロールは、内部で実行されるコンテナとマイクロサービスがデプロイされ、相互に通信し、隣り合って安全に実行できることを意味します。これにより、個々のマイクロサービス開発者に、セキュリティと、基盤となるインフラストラクチャの実装の詳細に関する負荷をかけることなく、セキュリティを実現できるのです」とGoogleは説明している。

Googleはもちろん、同社のGKEや、ハイブリッド型クラウドプラットフォームAnthosといった独自のサービスを通じて、こうした機能のすべてを開発者が利用できるようにすると明言してしている。さらに同社は、企業が多くのオープンソースツールを使用して、同じプラットフォームに準拠したシステムを構築できるようにすることも強調している。そこには、Envoy、Istio、gVisor、その他のプラットフォームが含まれる。

「BeyondCorpが、境界ベースのセキュリティモデルを超えるものとして、われわれのアプローチを進化させてくれたのと同じように、BeyondProdはプロダクションセキュリティに対するアプローチにおける同様の飛躍を実現するでしょう」と、Googleは言う。「BeyondProdモデルに含まれるセキュリティの原則を、各自のクラウドネイティブのインフラストラクチャに適用することで、当社の経験を活用して、ワークロードの分配、通信のセキュリティ保護、他のワークロードへの影響、といった部分を強化できるのです」。

このホワイトペーパー全体は、ここで読むことができる。

原文へ

(翻訳:Fumihiko Shibata)

Google Cloudがゼロトラストフレームワークに基づく新しいアイデンティティツールを発表

米国時間4月10日、Google CloudCloud Nextカンファレンスにおいて、「BeyondCorp」というゼロトラストセキュリティモデルのコンテキスト内でIDとアクセス管理をシンプルにする、新しいアイデンティティツールを発表した。

ゼロトラストはその名が示す通り、ネットワークを利用する人を誰も信用できないことを前提とするという意味だ。クラウド以前の時代には、ファイアウォールを設定し、承認された利用者がネットワーク内にいると何らかの合理的な確信をもって考えることができた。クラウドによってこの状況は変わり、その変化を考慮したモダンなセキュリティ体制を提供するためにゼロトラストが生まれた。

Googleは、開発者の負担を減らして簡単にアプリケーションにIDを組み込めるようにしたいと考えている。IDはアプリケーションにアクセスするためだけのものではなく、特にBeyondCorpのアプローチのコンテキストにおいてはセキュリティレイヤーに欠かせない部分と考えられる。その人が誰であるかがわかっていて、かつその人がどのようなやりとりをしているかのコンテキストを理解できれば、その人は名乗っている通りの人なのかどうかに関する有力な手がかりになる。

これにより、アプリケーションを保護するだけでなく、仮想マシンからAPIまでシステム全体がすべて同じように保護されることになる。Googleはブログの投稿で「ここ数カ月にわたり、我々はウェブアプリケーション、VM、Google Cloud Platform(GCP)のAPIを保護するために、Cloud Identity-Aware Proxy(IAP)とV​PC Service Controlsにコンテキスト認識アクセス機能のベータ版を追加してきた。今日、我々はこの機能をCloud IAPで広く使えるようにし、G Suiteアプリケーションへのアクセスを保護するためにこの機能のベータ版をCloud Identity​にも拡張した」と紹介している。

コンテキスト認識アクセスのハイレベルアーキテクチャ 提供:Google

このコンテキスト認識アクセスのレイヤーは、クラウド全体にわたってこれらの領域をすべて保護する。同社は「コンテキスト認識アクセスにより、ユーザーのIDとリクエストのコンテキストに基づいて、アプリケーションとインフラストラクチャへのきめ細かいアクセスを定義し実行できる。組織のセキュリティ体制を強化しつつ、ユーザーは事実上どのデバイスからでも、どこからでも、簡単にアプリケーションとインフラストラクチャのリソースに、簡単に、これまで以上に安全にアクセスできるようになる」と記している。

G Suiteの保護はベータ版だが、それ以外は米国時間の4月10日から利用できるようになっている。

Image Credits: LeoWolfert / Getty Images

[原文へ]

(翻訳:Kaori Koyama)