G-gen の藤岡です。本記事は Google Cloud Next '24 in Las Vegas の3日目に行われた Breakout Session「Serverless security like a pro」のレポートです。
他の Google Cloud Next '24 の関連記事は Google Cloud Next '24 カテゴリの記事一覧からご覧いただけます。
セッションの概要
本セッションでは、 基本的な責任共有モデルの説明から、Cloud Run や Cloud Functions などサーバレスサービスを利用する際のソフトウェア、ネットワークセキュリティについての紹介がありました。
サーバレスサービス
サーバレスなアプリケーション実行環境には、Cloud Functions や App Engine、Cloud Run がありますが、最近のアップデート傾向からも読み取れるように、本セッションでも Cloud Run の利用が推奨されていました。
また Cloud Functions 第二世代の実行基盤は Cloud Run であり、別のセッションでも Cloud Run のアップデートが多く紹介されていることから、今後も新機能の追加などが期待されます。
別のセッションで発表された Cloud Run のアップデートは以下の速報記事をご参照ください。 blog.g-gen.co.jp
ソフトウェアセキュリティ
Automatic Security Updates(Private Preview)
Cloud Run のコンテナのベースイメージの自動更新が Private Preview で発表されました。ただし、利用可能時期や、機能の詳細は未定です。
Cloud Run で最新のセキュリティパッチが適用されたベースイメージを使い続けるには、現在では最新のベースイメージを選択してコンテナを再デプロイする必要がありますが、この機能では、ダウンタイムなし・明示的な操作なしでベースイメージが自動的に更新されます。
- 参考 : セキュリティ更新ポリシー
ネットワークセキュリティ
構成例
サーバーレス VPC アクセスコネクタ
ネットワークセキュリティの部分では、サーバレスサービスの下り通信(Egress traffic)をどのように管理するか、VPC とどのように接続するのが良いのか等、構成図を元に説明がありました。
サーバレスサービスの下り通信では、サーバーレス VPC アクセスコネクタを使うことで、VPC 内のサービスや他のプラットフォームへ接続できます。
ただし、このサーバレス VPC アクセスコネクタは常時インスタンスが立ち上がっている状態のためコストがかかる、またスケールアウトしたインスタンスは自動スケールインしない等、利用する上での考慮点があります。
今回の Next で、これまでプレビュー版であった Cloud Run の Direct VPC Egress が一般公開(GA)が発表されました。
これによって、サーバレス VPC アクセスコネクタより柔軟に VPC内のサービスや他のプラットフォームへアクセスができるようになります。
Direct VPC Egress については以下の記事をご参照ください。 blog.g-gen.co.jp
静的 IP アドレス
サーバレスサービスは、デフォルトではインターネット通信時に動的 IP アドレスを使用します。
Cloud NAT を経由することで、インターネットと通信する際の IP アドレスを固定できます。この静的 IP アドレスの利用は、他のプラットフォーム側で特定の IP アドレスからの通信のみを許可する構成をとることができるため、セキュリティの向上に役立ちます。
Cloud Run での静的 IP アドレスの使用例は以下の記事をご参照ください。 blog.g-gen.co.jp
Secure Web Proxy
Secure Web Proxy を使ったサーバレスサービスの下り通信を保護する方法が紹介されました。
これによって、承認されたドメインへのみ通信が可能となり、不正なアクセスやデータ漏洩のリスクを軽減します。
- 参考 : Secure Web Proxy
Cloud Load Balancing
サーバレスサービスはデプロイするとそれぞれ URL が割り当てられます。この URL へ直接アクセスすることも可能ですが、以下のような Cloud Load Balancing を介した構成にすると、より高いセキュリティを実現できます。
インターネットからの通信は外部ロードバランサ経由にすることで、WAF サービスである Google Cloud Armor を使うこともでき DDoS 攻撃などのセキュリティリスクから保護することができます。
内部ロードバランサは、VPC 内部で稼働している各サービス間の負荷分散を担い、外部のインターネットとは分離された環境で動作するため、内部的なセキュリティを向上させることができます。
高可用性と低レイテンシ
高可用性(HA)
サーバレスサービスはリージョンリソースです。
つまり利用者は意識しなくても、自動的に複数のゾーンにわたってリソースが冗長化されるため、高い可用性が実現できます。
低レイテンシ
Cloud Load Balancing を用いることで、複数のリージョンに配置されたサービスバックエンドへのアクセスが最適化されます。
自動的にアクセス元に近いリージョンのバックエンドにトラフィックをルーティングするため、低レイテンシを実現できます。
関連記事
藤岡 里美 (記事一覧)
クラウドソリューション部
数年前までチキン売ったりドレスショップで働いてました!2022年9月 G-gen にジョイン。ハイキューの映画を4回は見に行きたい。
Google Cloud All Certifications Engineer / Google Cloud Partner Top Engineer 2024
Follow @fujioka57621469