数独のヒントを表示してくれるプログラム (Python - …tyamag/pythonsudoku.pdfのプログラムを雛型として、これをコピーして、これを出発点としてプログラミングしていくと
[Cloud OnAir] クラウド移行でここは外せない絶対条件、Google Cloud Platform...
-
Upload
google-cloud-platform-japan -
Category
Technology
-
view
2.955 -
download
0
Transcript of [Cloud OnAir] クラウド移行でここは外せない絶対条件、Google Cloud Platform...
Cloud OnAir
Cloud OnAir
クラウド移行でここは外せない絶対条件、Google のセキュリティについて全て話します!
2018 年 2 月 22 日 放送
Agenda
Cloud OnAir
1
3
2
4
インターネットの安全性
独自設計のインフラ
セキュリティモデル
1 2
2
まとめ
Cloud OnAir
Cloud OnAir
インターネットの安全性
Cloud OnAir
安全なインターネット
2018 年 7 月リリース予定の Chrome ブラウザで全ての HTTP サイトに警告表示へ
Not secure と表示される
Cloud OnAir
安全なインターネット
Chrome で HTTPS 経由で読み込まれたページの割合 (国別)
日本 60%
アメリカ 79%
https://transparencyreport.google.com/https/overview
ドイツ 75%フランス 74%メキシコ 73%ロシア 72%ブラジル 69%インド 68%トルコ 64%
インドネシア 63%
Cloud OnAir
安全なインターネット
https://privacy.google.com/intl/ja/safer-internet.html
安全なインターネット
誰にとっても安全なインターネットを実現する。
Cloud OnAir
インターネットは安全か
Cloud OnAir
インターネットは安全か
Spectre Meltdown“ 史上最悪のCPUバグの一つ “
Cloud OnAir
Project Zero - ゼロデイ攻撃を防ぐ
https://googleprojectzero.blogspot.jp
Cloud OnAir
セキュリティのイノベーション
TLS Email Encryption
Vulnerability Rewards Program
2-step verification
BeyondCorp
Security Key
Project Zero
Security Scanner
2010 2012 2013 2014 2015
Android AutomaticUpdates @Scale
CertificateTransparency
Channel Binding
2004 …
Safe Browsing
ChromeAutomatic Updates @Scale
2008 2016
BinDiff
Chrome Fuzzer
VSAQFramework
Ephemeral IDSecure Beacon
Encryption at RestBy Default
Cloud OnAir
Cloud OnAir
セキュリティモデル
従来のセキュリティモデ
ル
従来のセキュリティ
モデル
VPN
暗号鍵の内部管理
エンドポイント防御
機密データの保存場所が不明確
内部からの自由なアクセス
信頼できないユーザDDoS 防御
Firewall
IDS/ IPS
今日のセキュリティ
モデル
サービス間の認証
データ保存時の暗号化
今日のセキュリティ
モデル
ポリシーの中央管理
データの漏洩防止
安全なコードのデプロイ
トラフィック監視
ネットワークセグメンテーション
ユーザアクセス権階層
ID管理
Firewalls/ DDoS
データ転送時の暗号化
Cloud OnAir
Google はインフラを保護
お客様はアプリケーションを保護
責任共有モデル
PaaSApp
EngineBig
Query
SaaS
Gmail Drive
IaaSCompute Engine
Cloud Storage
コンテンツ
アクセスポリシー
利用
デプロイ
Webアプリのセキュリティ
アイデンティティ
運用
アクセスと認証
ネットワークセキュリティ
Guest OS, データとコンテンツ
監査ログ
ネットワーク
ストレージ+暗号化
安全なカーネルとIPC
ブート
ハードウェア
Google が管理
お客様が管理
クラウドセキュリティの責任は、お客様と Google で共有
徹底的な防御がデフォルトで ON
運用とデバイスのセ
キュリティ
ハードウェア インフラ サービス展開
アイデンティティ
ストレージ
サービス
インターネット通信
Proprietary + Confidential
境界ネットワークの防御
Google の Load Balancing には、L3/L4 DDoS 防御機能
がデフォルトでビルトイン
サードパーティの DDoS 防御
…..
Cloud OnAir
ISO 27001
ISO 27017
ISO 27018
HIPAA
ISAE 3402 Type II
AICPA SOC 3
AICPA SOC 2
FedRAMP ATOFor G Suite and App Engine
SSAE 16 Type II
STAR Certification
PCI DSS v3.2
第三者機関による認証
FISCガイドライン
MTCS Level 3
Cloud OnAir
GDPR (General Data Protection Regulation)
https://www.google.com/intl/ja/cloud/security/gdpr/
Cloud OnAir
Cloud OnAir
独自設計のインフラ
Google 独自設計の専用ハードウェア
フルスタックで Google が設計・製造
中間のベンダーを無くしあらゆるリスクを排除
専用チップ 専用サーバ 専用ストレージ 専用
ネットワーク
専用
データセンター
Cloud OnAir
利用 監査ログ セーフブラウジング API BeyondCorp セキュリティキーの配布
運用コンプライアンスと
第三者認証
ライブマイグレーションで、インフラメンテナンス
やパッチ適用
インテリジェントな脅威分析
Open Source フォレンジックツール
異常検知(インフラ )
インシデントレスポンス(インフラ )
デプロイTLS暗号化と perfect
forward secrecyCertificate Authority
無料かつ自動的な証明更新
DDoS 防御(PaaS & SaaS)
アプリ ピアコードレビューと静的コード解析
(Infrastructure SLDC)
Source code provenance
(Infrastructure)
バイナリ検証(Infrastructure code)
WAF (PaaS と SaaS)
IDS/ IPS(PaaS & SaaS)
Web Applicationスキャナー
(Google Services)
ネットワークデータセンター間通信の
RPC暗号化DNS Global プライベートネット
ワークAndromeda SDN
コントローラJupiter データセンター
ネットワークB4 SDN ネットワーク
ストレージ データ保存時の暗号化 ロギングIdentity and Access
Management Global な鍵管理サービス
OS と IPC 安全なKVM ハイパーバイザ
ホストやジョブ間の認証キュレーションされたホス
トイメージサービス間通信の暗号化
ブート 信頼できるブートCryptographic
Credentials
ハードウェア 独自設計のチップ 独自設計のサーバ 独自設計のストレージ 独自設計のネットワーク独自設計のデータセン
ター
全てのレイヤーをセキュアにする
画像を配置後左側の図形とフッターロゴを
被せて下さいhttps://goo.gl/uHwh8Y
Cloud OnAir
Title□■□■□■□■□
Cloud OnAir
最先端のテクノロジー
- チップセット
- ハードニングされた OS- コンテナ環境
- Borg によるワークロード管理
- デフォルト暗号化
- ソフトウェア定義のネットワーク
Titanクラウドインフラストラクチャ上のマシンと周辺機器のハードウェアの信頼関係(root of Trust)を確立するために、Google が独自に設計した専用チップ
デフォルトで全てのデータを暗号化
Google Cloud への接続
は、 TLS 暗号化が必須 データはチャンクに分割
され、それぞれが異なる
暗号鍵で暗号化
データ暗号化キーは、
キー暗号化キーでラッ
プ
暗号化されたチャンクと、ラップされた
暗号化キーは、Google のストレージ
インフラ全体に分散
データ暗号化のオプション
顧客指定の暗号鍵デフォルト暗号化
Cloud Key Management Service
(KMS)
自動化したい 管理したい
暗号鍵をクラウドで管理
し、マネージドサービスと
して利用
暗号鍵をオンプレで管理
し、自社のサービスを保
護する
世界標準の暗号化が
デフォルトで実装
https://cloud.google.com/security/encryption-at-rest/default-encryption/?hl=jahttps://cloud.google.com/security/encryption-in-transit/
Edge points of presence >100
Network sea cable investments
Google global cache edge nodes (>800)
Network
デフォルトで グローバル な VPC
Cloud OnAir
● JupiterGoogle データセンターのコアスイッチ
● B4Google のデータセンター間を接続するグローバルネットワーク
● EspressoGoogle のデータセンターとインターネットを相互接続するネットワーク
独自ソフトウェアによるネットワーク
Cloud OnAir
https://cloud.google.com/security/
https://transparencyreport.google.com/?hl=ja
透明性を向上
Googleはセキュリティ情報を積極的に公開
Google セキュリティ モデルはエンドツーエンドのプロセスであり、Gmail や
Google アプリをはじめとする Google アプリケーションでお客様のセキュリティを
保護してきた 15 年以上の経験を基盤としています。Cloud Platform では、Google の
セキュリティ モデルをお使いのアプリケーションやデータでもご利用いただけます。Google の
セキュリティ モデルについて詳しくは、セキュリティ、
インフラストラクチャのセキュリティ設計の概要、保存時の暗号化、転送時の暗号化、
Application Layer Transport Security の各ホワイトペーパーをご覧ください。
Cloud OnAir
Cloud OnAir
まとめ
Cloud OnAir
1. インターネットの安全性
2. セキュリティ モデル
3. 独自設計のインフラ
本日のまとめ
Cloud OnAir
Open
Smart
Trustworthy
Scaled
Pragmatic
多数のオンライントレーニングやクラスルーム型のトレーニングを提供しています。 GCP は、最も学習しやすいクラウドであるという評価も得ています。
Spectre や Meltdown を発見し、それらに対するパッチは無停止で適用。それ以前にも Heartbleed や Rowhammer など 800 以上の脆弱性(CVE)を発見し報告。
前払いの費用は必要ありません。使った分だけの料金なので固定費用は発生しません。 シンプルな価格体系と最高のコストパフォーマンスを提供します。
Google のサービスのために作ったソフトウェアをオープンソースにしました。 Apache Beam, TensorFlow, Kubernetes など、GCP はロックインしないオープンなクラウドです
Googleは世界中に 10 億人のアクティブユーザを持つサービスを 8 つ運用しています。 それらのサービスを支える GCP は世界最大級のクラウドサービスです。
強固なセキュリティは GCP を選ぶ理由の一つ