要旨

2023年 8月 29日 から 31日にかけて実施されている、Google Cloud Next’23 (San Francisco) にて Assured Workloads の日本版の提供が Public Preview stage で発表されました。

Google Cloud Assured Workloads について、情報を整理するとともに、実際に設定を試してみようと思います。

参考
Product launch stages

Assured Workloads について

Assured Workloads とは

Assured Workloads は、Google Cloud のセキュリティ機能の一つです。
お客様 (利用者) がコンプライアンス・プログラム (後述) に対応することを支援し、数クリックの操作でコンプライアンス・プログラムをデプロイして、リアルタイムにコンプライアンスへの準拠状況をモニタリングすることができます。

Assured Workloads を利用することで、データ主権を担保したり、クラウドのリージョンを制限したり 、法令等で定められたアクセス権を適用したり、各種ガイドラインへ準拠することが容易となります。
(詳細は、コンプライアンス・プログラムごとに異なる)

参考
Assured Workloads の概要

コンプライアンス・プログラム

コンプライアンス・プログラムは、 Assured Workloads の中の主要な概念の一つです。
各種ガイドラインや、各種法令などに対応するための一連の機能や制約類をまとめてコンプラインス・プログラムとして Google Cloud が用意をしています。

主要なコンプライアンス・プログラムの種類を以下に記載します。
すべてのコンプライアンス・プログラムは、参考に記載した『Compliance programs』を確認してください。
また、コンプライアンス・プログラムごとに利用できるサービスは、『Supported products by compliance program』を確認してください。
このページは改編が多いため、英語版を参照することを推奨します。

  • Regions
    • 特定の地域に対してデータ場所の制御を提供するものです。
  • Regions and Support
    • Regions and Support は特定の地域によるカスタマーサポートとデータ場所の制御を提供するものです。
  • FedRAMP
    • 正式名称は『Federal Risk and Authorization Management Program』。
    • FedRAMP は、米国連邦政府全体で、クラウド製品とサービスのセキュリティ評価、認可、継続監視に対する標準的なアプローチを提供するものです。

お客様は、自身の要件にあったコンプライアンス・プログラムを選択することで、これらに対する遵守が容易になります。

参考
Compliance programs
Supported products by compliance program

Google Cloud Next での発表について

今回の Google Cloud Next での発表は、Japan Regions のコンプライアンス・プログラムの発表に関する事項となります。

これにより、お客様は簡易な操作で日本リージョンを限定するようにデータ場所の制御を担保することが可能となります。
注意点として、2023年8月30日現在において Japan Regions では他のリージョンにある地域のサポート担当者によるサポートアクセス制御は提供されていません。

Japan Regions の提供内容は、以下の参考をご確認ください。
なお、 Japan Regions は、2023年8月30日現在 Preview 版のため、本番用のワークロードに利用することはできません。

参考
Compliance programs – Japan Regions
Assured Workloads release notes

Assured Workload – Japan Regions の提供内容

今回の Google Cloud Next で発表された、 Japan Regions の場合、以下のような機能が提供されます。

暗号鍵の提供

顧客管理の暗号鍵 (CMEK) を提供し、顧客が管理する暗号鍵によるデータ保護を提供します。

参考
顧客管理の暗号鍵(CMEK)

データ場所の制御

日本リージョンのみに限定されるように、リージョンと利用できるサービスが限定されます。

利用できるリージョンは、 東京 (asia-northeast1) 、大阪 (asia-northeast2) に限定されます。

また、データの場所を制限するために利用できるサービスが制限されます。
Compute Engine (GCE)、 Google Kubernetes Engine (GKE)、Cloud SQL、Cloud Storage (GCS) といった基本的なリソースの他、Cloud Bigtable や BigQuery などの分析ソリューションが利用できます。
しかし、Anthos や Cloud Spanner などのサービスは2023年8月30日現在において利用できません。
利用できるサービスの一覧は参考をご確認ください。

参考
Assured Workloads locations
Supported products by compliance program

コンソールによる確認

Assured Workloads のコンソールを用いて、上記の制約に合格できているか確認することができます。

違反が起きている場合、コンソールによる確認のほか、Essential Contacts に登録された連絡先に通知されます。

Assured Workloads 設定手順

ここでは、Assured Workload の検証も兼ねて、一般提供 (GA) で提供されている US Regions and Support Assured Workloads のコンプライアンス・プログラムを用いて設定手順を試してみます。

プレビュー版の Japan Regions Assured Workload のコンプライアンス・プログラムとは、若干の差が発生する可能性があります。

本手順で利用するコンプライアンスは US Regions and Support です。

権限

Assured Workloads の管理には、 以下のロールが必要となります。

  • Assured Workloads 管理者 (roles/assuredworkloads.admin)
  • エッセンシャルコンタクトの管理者(roles/essentialcontacts.admin)
  • クラウド KMS 管理者 (roles/cloudkms.admin)
  • 組織ポリシー管理者(roles/orgpolicy.policyAdmin)

これらの権限は、組織全体に関わる強力な権限のため、組織配下の Google Cloud で検証する場合は、権限の状況に注意してください。

手順

ここでは、Assured Workloads を検証するための一連の作業を行います。

  1. Assurek Workloads の Console へアクセス
    • Assured Workloads の管理コンソールへアクセスします。
  2. 作成ウィザードの実行
    • Assured Workloads の作成ウィザードを実行します。
  3. Assured Workloads の追加設定を実施
    • Assured Workloads の追加設定を行います。
  4. Workload プロジェクトを作成
    • Workload プロジェクト (サービスを実行するプロジェクト) を作成します。
  5. Workload に対する制約を確認
    • Assured Workload による制約が適切であることを確認します。
  6. 違反の検知
    • 制約を変更した際に検知できることを確認します。

1. Assurek Workloads の Console へアクセス

1. Assurek Workloads フォルダへアクセス

Assured Workloads フォルダ のコンソールへアクセスします。

本機能は組織 (Google Cloud) の機能のため、プロジェクトにアクセスすると設定する組織の確認画面が表示されるので、必要に応じてリダイレクトします。

  • 『作成』 を選択

作成ウィザードを起動して、Assured Workloads フォルダの作成を行います。

メモ

Assured Workload のフォルダにアクセスする都度、『コンプライアンス関連の契約』というダイアログが表示されます。

こちらが表示された際は、内容を確認して『確認して続行』を選択してください。

2. 作成ウィザードの実行

一連のウィザードを進めます。

1. 前提条件の確認

  • 前提条件を確認し、問題がないことを確認する
  • 『次へ』を選択
2. コンプライアンスの種類の選択

  • 『コンプライアンスの種類の由来』で『米国』を選択
  • チェックボックスから『米国リージョンとサポート』を選択
  • 『次へ』を選択
3. リージョンを選択

  • 『US』 を選択
    • Japan Regions では、マルチリージョンが利用できない可能性があります。
  • 『次へ』を選択
4. フォルダの構成

  • 『フォルダの場所』 を任意に選択
  • 『フォルダ名』を任意に入力
  • 『次へ』を選択
5. 鍵管理の構成

  • 『キーリング名』に任意に入力
  • 『プロジェクト名』に任意に入力
  • 必要に応じて『プロジェクトID』 に入力
  • 『請求先アカウント』を選択
  • 『次へ』を選択
6. フォルダの詳細の確認

  • 作成する内容が正しいことを確認
  • 『作成』を選択
完了

Assured Workloads フォルダの作成が完了します。

3. Assured Workloads の追加設定を実施

Assured Workloads フォルダ のコンソールから追加の設定を行います。

  • 作成したフォルダの名前 (この例では example) を選択
Assured Workload のモニタリング

  • 『エッセンシャルコンタクト』を選択

  • 『連絡先を追加』を選択

  • 『メール』『メールの確認』に、管理者のアドレスを入力
  • 『通知カテゴリ』の『法務』を選択
  • 『保存』を選択
暗号化

  • 『プロジェクト ID』を選択して、CMEK プロジェクトにアクセス

  • 『Key Management』のサービスへ移動する

  • 『5. 鍵管理の構成』で作成した鍵が表示されているので、『名前』を選択 (例示だと example-asia1)

  • 『鍵を作成』 を選択

  • 『キー名』に任意の値を入力
  • 『保護レベル』で、『HSM』を選択

  • 他の設定内容を確認
  • 『作成』を選択

作成の完了を確認

許可されているサービス

  • 『利用可能なアップデートを確認』を選択

  • アップデートの内容を確認、詳細は環境ごとに異なる

  • 『サービスを許可』を選択

  • 『更新されるサービスで更新』を選択

  • 再度、『利用可能なアップデートを確認』を選択

  • 更新済みを確認

4. Workload プロジェクトを作成

実際のリソース (e.g. GCE、GKE、Cloud SQL、etc…) を入れるプロジェクト (Workload プロジェクト) を作成します。

1. コンソールへアクセス

リソースの管理 へアクセス

2. プロジェクトを作成

  • 『プロジェクトを作成』 を選択

  • 『プロジェクト名』に任意の値を入力
  • 『請求先アカウント』を選択
  • 『組織』を選択
  • 『場所』は、『4. フォルダの構成』で作成した Assured Workloads フォルダを選択
  • 『作成』を選択

以上で、Workload プロジェクトが作成できる。

5. Workload に対する制約を確認

Assured Workloads により、Organization Policies による制約がかかっていることを確認します。

1. コンソールへアクセス

組織のポリシー へアクセス

場所を、『4. Workload プロジェクトを作成』で作成したプロジェクトに移動します。

2. ロケーション制限を確認
  • フィルタに constraints/gcp.resourceLocations を入力

  • 『Google Cloud Platform – Resource Location Restriction』 を選択

  • 『許可』の欄に、利用許可されたロケーションが記載されていることを確認
3. サービス制限を確認

  • フィルタに constraints/gcp.restrictServiceUsage を入力
  • 『Restrict Resource Service Usage』 を選択

  • 『許可』の欄に、利用許可されたサービスが記載されていることを確認

以上で、制約が正しいことを確認できました。

6. 違反の検知

実際に制約を変更し、検知ができることを確認します。

1. 制約を書き換える
  • フィルタに constraints/gcp.restrictServiceUsage を入力
  • 『Restrict Resource Service Usage』 を選択

  • 『ポリシーを管理』を選択

  • 『Google で管理されるデフォルト値』を選択
  • 『ポリシーを設定』を選択
2. コンソール上で確認

モニタリング コンソールへ移動

本機能は組織 (Google Cloud) の機能のため、プロジェクトにアクセスすると設定する組織の確認画面が表示されるので、必要に応じてリダイレクトします。

  • 検知内容を確認
3. メールで確認

『Assured Workload のモニタリング』の『エッセンシャルコンタクト』で設定した連絡先にメールが到達していることを確認します。

  • 違反に関するメールが到達することを確認

以上で、違反時の検知を確認します。

まとめ

日本でもプレビューが始まる Assured Workloads を利用することで、データ場所の場所を日本に限定する運用を、数クリックで実現することができるようになります。
個人情報の取扱いに関する法令などで、データの保存場所や、暗号化に関する管理が求められる昨今、Assured Workloads で実装を行い稼働削減が可能であると考えます。

以上