Cloud OnAir

Cloud OnAir

クラウド移行でここは外せない絶対条件、Google のセキュリティについて全て話します！

2018 年 2 月 22 日 放送

Agenda

Cloud OnAir

1

3

2

4

インターネットの安全性

独自設計のインフラ

セキュリティモデル

1 2

2

まとめ

Cloud OnAir

Cloud OnAir

インターネットの安全性

Cloud OnAir

安全なインターネット

2018 年 7 月リリース予定の Chrome ブラウザで全ての HTTP サイトに警告表示へ

Not secure と表示される

Cloud OnAir

安全なインターネット

Chrome で HTTPS 経由で読み込まれたページの割合 (国別)

日本 60%

アメリカ 79%

https://transparencyreport.google.com/https/overview

ドイツ 75%フランス 74%メキシコ 73%ロシア 72%ブラジル 69%インド 68%トルコ 64%

インドネシア 63%

Cloud OnAir

安全なインターネット

https://privacy.google.com/intl/ja/safer-internet.html

安全なインターネット

誰にとっても安全なインターネットを実現する。

Cloud OnAir

インターネットは安全か

Cloud OnAir

インターネットは安全か

Spectre Meltdown“ 史上最悪のCPUバグの一つ “

Cloud OnAir

Project Zero - ゼロデイ攻撃を防ぐ

https://googleprojectzero.blogspot.jp

Cloud OnAir

セキュリティのイノベーション

TLS Email Encryption

Vulnerability Rewards Program

2-step verification

BeyondCorp

Security Key

Project Zero

Security Scanner

2010 2012 2013 2014 2015

Android AutomaticUpdates @Scale

CertificateTransparency

Channel Binding

2004 …

Safe Browsing

ChromeAutomatic Updates @Scale

2008 2016

BinDiff

Chrome Fuzzer

VSAQFramework

Ephemeral IDSecure Beacon

Encryption at RestBy Default

Cloud OnAir

Cloud OnAir

セキュリティモデル

従来のセキュリティモデ

ル

従来のセキュリティ

モデル

VPN

暗号鍵の内部管理

エンドポイント防御

機密データの保存場所が不明確

内部からの自由なアクセス

信頼できないユーザDDoS 防御

Firewall

IDS/ IPS

今日のセキュリティ

モデル

サービス間の認証

データ保存時の暗号化

今日のセキュリティ

モデル

ポリシーの中央管理

データの漏洩防止

安全なコードのデプロイ

トラフィック監視

ネットワークセグメンテーション

ユーザアクセス権階層

ID管理

Firewalls/ DDoS

データ転送時の暗号化

Cloud OnAir

Google はインフラを保護

お客様はアプリケーションを保護

責任共有モデル

PaaSApp

EngineBig

Query

SaaS

Gmail Drive

IaaSCompute Engine

Cloud Storage

コンテンツ

アクセスポリシー

利用

デプロイ

Webアプリのセキュリティ

アイデンティティ

運用

アクセスと認証

ネットワークセキュリティ

Guest OS, データとコンテンツ

監査ログ

ネットワーク

ストレージ＋暗号化

安全なカーネルとIPC

ブート

ハードウェア

Google が管理

お客様が管理

クラウドセキュリティの責任は、お客様と Google で共有

徹底的な防御がデフォルトで ON

運用とデバイスのセ

キュリティ

ハードウェア インフラ サービス展開

アイデンティティ

ストレージ

サービス

インターネット通信

Proprietary + Confidential

境界ネットワークの防御

Google の Load Balancing には、L3/L4 DDoS 防御機能

がデフォルトでビルトイン

サードパーティの DDoS 防御

…..

Cloud OnAir

ISO 27001

ISO 27017

ISO 27018

HIPAA

ISAE 3402 Type II

AICPA SOC 3

AICPA SOC 2

FedRAMP ATOFor G Suite and App Engine

SSAE 16 Type II

STAR Certification

PCI DSS v3.2

第三者機関による認証

FISCガイドライン

MTCS Level 3

Cloud OnAir

GDPR (General Data Protection Regulation)

https://www.google.com/intl/ja/cloud/security/gdpr/

Cloud OnAir

Cloud OnAir

独自設計のインフラ

Google 独自設計の専用ハードウェア

フルスタックで Google が設計・製造

中間のベンダーを無くしあらゆるリスクを排除

専用チップ 専用サーバ 専用ストレージ 専用

ネットワーク

専用

データセンター

Cloud OnAir

利用 監査ログ セーフブラウジング API BeyondCorp セキュリティキーの配布

運用コンプライアンスと

第三者認証

ライブマイグレーションで、インフラメンテナンス

やパッチ適用

インテリジェントな脅威分析

Open Source フォレンジックツール

異常検知(インフラ )

インシデントレスポンス(インフラ )

デプロイTLS暗号化と perfect

forward secrecyCertificate Authority

無料かつ自動的な証明更新

DDoS 防御(PaaS & SaaS)

アプリ ピアコードレビューと静的コード解析

(Infrastructure SLDC)

Source code provenance

(Infrastructure)

バイナリ検証(Infrastructure code)

WAF (PaaS と SaaS)

IDS/ IPS(PaaS & SaaS)

Web Applicationスキャナー

(Google Services)

ネットワークデータセンター間通信の

RPC暗号化DNS Global プライベートネット

ワークAndromeda SDN

コントローラJupiter データセンター

ネットワークB4 SDN ネットワーク

ストレージ データ保存時の暗号化 ロギングIdentity and Access

Management Global な鍵管理サービス

OS と IPC 安全なKVM ハイパーバイザ

ホストやジョブ間の認証キュレーションされたホス

トイメージサービス間通信の暗号化

ブート 信頼できるブートCryptographic

Credentials

ハードウェア 独自設計のチップ 独自設計のサーバ 独自設計のストレージ 独自設計のネットワーク独自設計のデータセン

ター

全てのレイヤーをセキュアにする

画像を配置後左側の図形とフッターロゴを

被せて下さいhttps://goo.gl/uHwh8Y

Cloud OnAir

Title□■□■□■□■□

Cloud OnAir

最先端のテクノロジー

- チップセット

- ハードニングされた OS- コンテナ環境

- Borg によるワークロード管理

- デフォルト暗号化

- ソフトウェア定義のネットワーク

Titanクラウドインフラストラクチャ上のマシンと周辺機器のハードウェアの信頼関係（root of Trust）を確立するために、Google が独自に設計した専用チップ

デフォルトで全てのデータを暗号化

Google Cloud への接続

は、 TLS 暗号化が必須 データはチャンクに分割

され、それぞれが異なる

暗号鍵で暗号化

データ暗号化キーは、

キー暗号化キーでラッ

プ

暗号化されたチャンクと、ラップされた

暗号化キーは、Google のストレージ

インフラ全体に分散

データ暗号化のオプション

顧客指定の暗号鍵デフォルト暗号化

Cloud Key Management Service

（KMS）

自動化したい 管理したい

暗号鍵をクラウドで管理

し、マネージドサービスと

して利用

暗号鍵をオンプレで管理

し、自社のサービスを保

護する

世界標準の暗号化が

デフォルトで実装

https://cloud.google.com/security/encryption-at-rest/default-encryption/?hl=jahttps://cloud.google.com/security/encryption-in-transit/

Edge points of presence >100

Network sea cable investments

Google global cache edge nodes (>800)

Network

デフォルトで グローバル な VPC

Cloud OnAir

● JupiterGoogle データセンターのコアスイッチ

● B4Google のデータセンター間を接続するグローバルネットワーク

● EspressoGoogle のデータセンターとインターネットを相互接続するネットワーク

独自ソフトウェアによるネットワーク

Cloud OnAir

https://cloud.google.com/security/

https://transparencyreport.google.com/?hl=ja

透明性を向上

Googleはセキュリティ情報を積極的に公開

Google セキュリティ モデルはエンドツーエンドのプロセスであり、Gmail や

Google アプリをはじめとする Google アプリケーションでお客様のセキュリティを

保護してきた 15 年以上の経験を基盤としています。Cloud Platform では、Google の

セキュリティ モデルをお使いのアプリケーションやデータでもご利用いただけます。Google の

セキュリティ モデルについて詳しくは、セキュリティ、

インフラストラクチャのセキュリティ設計の概要、保存時の暗号化、転送時の暗号化、

Application Layer Transport Security の各ホワイトペーパーをご覧ください。

Cloud OnAir

Cloud OnAir

まとめ

Cloud OnAir

1. インターネットの安全性

2. セキュリティ モデル

3. 独自設計のインフラ

本日のまとめ

Cloud OnAir

Open

Smart

Trustworthy

Scaled

Pragmatic

多数のオンライントレーニングやクラスルーム型のトレーニングを提供しています。　　 GCP は、最も学習しやすいクラウドであるという評価も得ています。

Spectre や Meltdown を発見し、それらに対するパッチは無停止で適用。それ以前にも Heartbleed や Rowhammer など 800 以上の脆弱性（CVE）を発見し報告。

前払いの費用は必要ありません。使った分だけの料金なので固定費用は発生しません。　シンプルな価格体系と最高のコストパフォーマンスを提供します。

Google のサービスのために作ったソフトウェアをオープンソースにしました。 Apache Beam, TensorFlow, Kubernetes など、GCP はロックインしないオープンなクラウドです

Googleは世界中に 10 億人のアクティブユーザを持つサービスを 8 つ運用しています。　　それらのサービスを支える GCP は世界最大級のクラウドサービスです。

強固なセキュリティは GCP を選ぶ理由の一つ