cloud.google.com

Twitterでは収まりきらなそうなので、手を動かすとき用のメモを残しておきます。 カテゴリはしてるけどMECEさは気にしてません

Access Transparency

IaaSプロバイダーによるアクセス履歴のトラッキング。この度、Approvalがでることで承認制にすることもできるようになった。

• GCP: Access Transparency, Access Approval
• AWS: NA (CloudTrailじゃないよなぁ...）

DLP

Data Loss Prevention。AWS Macieはまだ東京regionにはまだきてないハズ

• GCP:
  • VPC Service Control: GCS/BigQueryのデータをVPC内に留めるデータにおける境界予防（Prevention） 　* DLP User Interface
• AWS: Macie

SOC

GCPは基本Cloud Security Command Centerに集約

Prevention

• GCP
  • Security Health Analytics
  • Cloud Security Scanner: XSSのようなアプリレイヤーにおける脆弱性スキャナー
• AWS
  • AWS Config
  • AWS Control Tower
  • ※Cloud Security Scanner相当はない（ハズ）

Detection/Response

• GCP
  • Event Threat Detection
• AWS
  • GuardDuty

IR Orchestration

• GCP: Stackdriver Incident Response and Management
• AWS: Security Hub

API Security

• GCP: Apigee
• AWS: NA? (API Gatewayがどこまでできるか知らない）

クラウドネイティブセキュリティ　（コンテナセキュリティ）

クラウドネイティブセキュリティは @ken5scal が勝手に読んでるだけ。冒頭に紹介したブログだとSupply Chainと書かれていたが、個人的に本質はアプリをコンテナでデプロイする際のライフサイクル全体におけるセキュリティだと思っている。 ので、次の記事から用語を参照してマッピングした

www.cncf.io

コンテナレジストリのセキュリティ

• GCP: Container Registry Vulnerability Scan
• AWS: NA (GitHub上でissueになってただけ）

Deployment (deploy-time security Control)

• GCP: Binary Authorization
• AWS: NA

ランタイムセキュリティ

• GCP: GKE Sandbox (gVisorベース)
• AWS: NA

コンテナホストのセキュリティ（Runtime Environment Hardening?)

• GCP: Shielded VM
• AWS: NA

CIAM (Customer IAM)

• GCP: Identity Platform (Firebase Authenticationとは統合しなさそう）
• AWS: NA (Cognito?)