Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

GCPの権限管理に関する自動化について

10xinc
July 26, 2023

 GCPの権限管理に関する自動化について

10xinc

July 26, 2023
Tweet

More Decks by 10xinc

Other Decks in Technology

Transcript

  1. ©10X, Inc. All Rights Reserved. 自己紹介
 ◦ swdyh (さわだようへい)
 ◦

    株式会社10X 
 ◦ ソフトウェアエンジニア (2018から)
 ◦ 社員規模: 入社時4名、現在120名くらい
 ◦ リライアビリティ&セキュリティ部
 ◦ Stailerのプロダクトセキュリティを担当(2022から)
 ◦ サーバサイドの開発も一部兼任
 

  2. ©10X, Inc. All Rights Reserved. プロダクトで扱うデータの整理
 ◦ どこに何があるか
 → データの棚卸しと整理


    ◦ それに誰がどうアクセスできるか
 → 権限の整理
 ◦ それにアクセスしたかどうか分かる
 → AuditLogの整備
 

  3. ©10X, Inc. All Rights Reserved. 権限の整理の背景
 
 
 ◦ ちゃんと整備せずに数年たってしまった


    ◦ やや荒れ気味
 ◦ ざっくりと広めにつけられている
 ◦ すでに役割を終えてそうなもの
 ◦ 意図したものが分からないもの
 ◦ データの棚卸しと整理をしたので、どこにどういう情報があるかは分かってき た
 ◦ 大事な情報へのアクセス権を限定したい
 ◦ 組織の構造が変わったり、業務も日々かわっていく、必要な権限も変わって いく
 ◦ 整理された状態にしたいし、それをコストかけずに維持したい

  4. ©10X, Inc. All Rights Reserved. 権限の整理のアプローチ
 
 
 ◦ ともかくまずは把握から


    ◦ 把握しやすい状態をつくる
 ◦ 把握できたら問題点を洗い出す
 ◦ 大事な情報へのアクセス権はどれが該当するか
 ◦ 権限昇格になりそうなものはないか
 ◦ 不要なものはないものはないか
 ◦ 継続的に問題点を把握していければよさそう

  5. ©10X, Inc. All Rights Reserved. 把握のためのデータ集め
 
 
 CloudAsset Cloud

    Identity Cloud IAM BigQuery ◦ CloudAssetやAPIで権限に関連するデータを BigQueryへエクスポート
 ◦ Cloud Asset
 ▪ IAM Policy, Project, Folder, CustomRole...
 ◦ Cloud Identity API
 ▪ Google Group Member
 ◦ Cloud IAM API
 ▪ PredefinedRole
 ◦ 毎日定期実行、snapshotも日毎に残す

  6. ©10X, Inc. All Rights Reserved. 集めた情報を見やすくする
 
 ◦ BIツールを利用 (LookerStudio)

    
 ◦ GCPの画面と比べて
 ◦ プロジェクト横断
 ◦ リソース単位(bucket, datasetな ど)も一括で見れる
 ◦ 集計したり、特定の条件を出し たりが楽
 ◦ SQLで込み入ったことも書きや すい

  7. ©10X, Inc. All Rights Reserved. どういうものを見ているか
 
 
 ◦ 現状のIAM

    Policy 一覧
 ◦ 変更の履歴
 ◦ 良くない権限設定
 ◦ 権限昇格系、個人情報/機密情報アクセス権、広い権限。 
 ▪ このへんはわりと業務やデータに応じて変動しそう。都度SQL見直すつもり 
 ◦ 各種集計
 ◦ 使われてるロールの集計、プロジェクトごとの集計など
 ◦ 便利なツール的なもの
 ◦ 冗長な設定検出(あるロールとそのサブセットのロールがともに付与されているときに、サブセットの ほうは要らないというのを出す、追加で権限足すと起こりがち) 
 ◦ RoleとRoleのpermission diff

  8. ©10X, Inc. All Rights Reserved. まとめ
 
 
 ◦ いろいろエクスポートしてBIツールで見るようにしたら、だいぶ見通しよくなった

    
 ◦ SQLでいろいろ検出できる 
 ◦ 今は良くない設定なおしているところ 
 ◦ 良くないところが減るのを観測できるし、新たになにか出てきてもすぐ分かる 
 ◦ すごく自動化できたわけではないけど、荒れ地をよい状態に持っていけそう 
 ◦ とはいえ難しさはある
 ◦ 業務を把握しないと適切な権限が分からないし、日々業務が変わる。組織の形も変わった りする。
 ◦ 「データの棚卸しと整理」「権限の整理」「AuditLogの整備」3つの施策の1つ、それぞれ関連して いて、データを集めて繋げればよりいい感じのものができそう 

  9. ©10X, Inc. All Rights Reserved. こんな環境に興味のある方ぜひ
 
 
 ◦ 10Xでは、事業が成長とともにセキュリティの重要度が高まってきています。活躍できる

    余白もたくさんあります。
 ◦ ジョブディスクリプション
 ◦ セキュリティエンジニア(Product Security)
 ◦ ソフトウェアエンジニア(Product Security Ops)
 ▪ ソフトウェアエンジニアでセキュリティに取り組むひと
 • ソフトウェアエンジニア(Product Security Ops)を募集します
 ◦ カジュアルな情報交換とかもしましょう
 ◦ カジュアル面談フォーム
 (注: Speaker Deckで見ていてリンクを開けない場合、スライドの下のDescriptionにリンクがあります)