要旨
Google Cloud Next’23 が 2023 年 8月 29日から 2023年 8月 31日 (現地時間) で実施されております。
この記事では、基調講演である『Developer Keynote: What’s Next for Your App?』に関する情報をセキュリティエンジニアの目線からまとめます。
この記事は速報のため、内容に齟齬がある可能性もありますので、詳細は Google Cloud Next のビデオを参照してください。
Google Cloud Next’23 – Developer Keynote – youtube
イベントに現地参加しているメンバーのブログはこちらをご確認ください。
Day 0 / Day 1 / Day 2
Developer Keynote 全体の感想
Developer Keynote は 『Welcome to legacy land.』 から始まる陽気な音楽から始まりました。
曲の内容はレガシーサーバーを触っていた人間にはあるあるの内容にまとめられており、クラウドでの開発に大きな期待が持てる曲でした。
セッションは、主に開発者向けの内容が多かったですが、SRE エンジニアの方の話もあって面白かったです。
開発系でも、Opening Keynote と同様に Duet AI
が一際目を引いていました。
Google Chat と連携し、Duet AI に自然言語で問い合わせたものを Duet AI が解釈し、Google AppSheet と連携して自動的にアプリを開発するなど、内部利用のアプリであれば内製化による稼働削減などが望めるソリューションであると考えました。
(『自然言語』とは、一般の人が利用する言語のことで、プログラミング言語などとは対極にあるもの)
参考
AppSheet
Duet AI for AppSheet
また、Day1 の Opening Keynote でも紹介されていた GKE Enterprise
に関するところでは、セキュリティに関する機能が特に目を引きました。
Binary Authorization
という機能をもちいて、信頼できるイメージのみデプロイ可能にするセキュリティコントロールとのことです。
コンテナに対するリスクの一つとして、信頼されないイメージが実行されるというものがあるため、それに対する解決策になると期待しています。
Google のプロジェクトには OSS パッケージを保護する Assured OSS
という機能があり、こちらを利用すると信頼された OSS のみ利用可能になるとのことです。
GKE では、 GKE Security Posture
という、従来の Security Posture の機能が強化された、クラスタだけでなく、アプリケーションレベルの脆弱性の検出が組み込まれた管理ダッシュボードが提供されるとのことです。
とくに、大規模なアプリケーションを管理する場合にはコンテナの管理が課題となるため、 GKE Security Posture はセキュリティエンジニアの力強いツールになると期待できます。
参考
GKE Enterprise: the next evolution of Kubernetes
GKE editions
Binary Authorization
Assured オープンソース ソフトウェア
[Security Posture] ダッシュボードについて
Security Command Center の Finding には Minimap という機能が追加されていました。
攻撃のパスを可視化できる機能で、インターネットから始まる攻撃を可視化できるため、対策の戦略を立てるのに有意義な機能と考えます。
Keynote のピックアップ
この章では、Keynote の一部をピックアップして記載します。
Keynote 全体は 1.5 時間のイベントであり、貴重な情報がたくさんあるため、ぜひ Youtube などでご視聴ください。
本セッションは、Forrest Brazeal さんと、Richard Seroter さんの司会で進められました。
Duet AI を用いたアプリ作成デモ by Alice Keeler さん
Alice Keeler さんの話では、Duet AI を用いた迅速なアプリのデプロイをデモを含めて実施されていました。
このデモの中では以下のプロセスを行っていました。
- カスタムアプリケーションを AppSheet と Duet AI で構築する
- スマートフォンとタブレットで、簡単にデータを計算する
- 拡張と自動化を AI で実施する
Google Chat で必要とするアプリを自然言語で要求し、AI からの質問に答えるだけで Web アプリケーションが作成できるデモを実施していました。
このアプリケーションはデータベースとの連携や、入力チェック、本格的な Web UI まで備えるレベルのものが生成されています。
タブレットモードでは、Google Sheets のような見た目で、直感的な操作が可能となるものです。
また、スマホモードでは音声入力で AI がパラメータを入力するなど、通常で作るのも難しいような機能まで備えています。
プログラム変更の影響短縮 by Anna Berenberg さん
Anna Berenberg さんの話では、プログラムに小さな変更を加えたときの影響について、ホラーストーリーが展開されていました。
マイクロサービスが相互に関係していることから影響調査やAPI 設計などに掛かるエンジニア数が多大なものになっていた、という過去の状況を話しの起点に始まりました。
一つの機能をリリースするのにも、チームリソースの調整などに 6ヶ月程度の時間がかかり、これを加速させる必要があることが課題とのことです。
これを解決させるためには以下のものが必要とのことでした。
- 拡張可能な水平展開インフラストラクチャ
- オープンソースツールと API
- 拡張レイヤーの再利用
たとえば Traffic Director を用いることでこれらの作業を数週間に短縮することができるとのことです。
Cloud Run を用いたクラウドインフラストラクチャ管理 by Lukas Karlsson さん
Lukas Karlsson さんの話では、クラウドインフラストラクチャの管理について改善する点を 3つあげています。
- スケーリングイベントへの対応
- インフラストラクチャ保守の容易化
- パーソナライズ化された顧客エクスペリエンスの構築
Cloud Run を用いて、CPU boost を用いて起動時間の短縮などを実施していました。
CPU boost を用いることで、スケーリングの自動化や、保守の容易化などを解決できるとのことです。
Log4j に対する SRE マネージャーの対応 by Adrienne Walcer さん
Adrienne Walcer さんは、SRE マネージャーで Log4j の小さなバグと Zero day 攻撃を受けた際の一連の対応を曲に載せながら話しました。
大量の干し草の中から数千本の針を見つけるような大変な作業だったとのことです。
現在は、この経験を活かした対応が実施されているとのことでした。
Kubernetes セキュリティ by Mark Johnson さん
Mark Johnson さんは主に Kubernetes まわりのセキュリティについて話をしていました。
非常に濃い内容のため、動画を見ていただいたり、『Developer Keynote 全体の感想』をご確認ください。
Gmail の Spanner 移行 by Sudev Bohra さん
Sudev Bohra さんは Gmail のデータベースを Spanner へ移行させたとのことです。
Gmail の Spanner 移行では、Gmail の大規模な移行を Legacy な Database から Spanner へ移行する際の苦労話では、無効な UTF-8 文字や、大規模なメール本文などスパナクルズという奇妙なデータに遭遇したとのことです。
これらを考慮し、Spanner への完全移行を実施したとのことで Spanner の性能に驚かされます。
BigLake によるデータ処理 by Miles Ward さん
Miles Ward さんは、主にデータと BigLake について話をしていました。
BigLake では、GCS からデータを読み取り SQL ライクにメタデータを追加するデモがありました。
また、データに関しても AI の活用が進んでいるのが印象的でした。
Vertex AI の Colab Enterprise で自然言語で問い合わせることで データを出力するなどのデモも実施されていました。
おわりに
Developer Keynote は主に開発エンジニア向けの内容でしたが、セキュリティエンジニアとしても注目する箇所が多い内容でした。
Kubernetes にセキュリティプロセスを組み込んで安全なイメージを展開したり、SRE エンジニアが苦労した Log4j への対応などです。
昨今のアプリケーションは Kubernetes への移行がどんどん進んでいるため、これらに対する安全を提供する方法を考えていきたいと思います。
以上