米Googleは、コンテナ化アプリケーションの開発とデプロイを容易にする「Cloud Run」の安全性を高めるための、4つのセキュリティ対策を5月14日(現地時間)に発表した。
今回、発表されたセキュリティ対策は以下の通り。
- Googleシークレットマネージャから機密データをマウント
- バイナリ認証を使用して信頼できるコンテナイメージのみデプロイ
- 独自の暗号化キーの使用
- 最小特権の原則に基づく推奨事項の取得
新たなセキュリティ対策では、APIキーやパスワード、証明書、その他の機密データをシークレットマネージャに格納するとともに、コマンドラインからシークレットマネージャに格納した機密データを環境変数またはファイルシステムボリュームとしてCloud Runにマウントして使用できるようになっている。
また、管理者は特定のプロジェクトについてバイナリ認証を使用するよう強制することが可能になった。
独自の暗号化キーは、コンテナイメージ保護を目的にCloud Key Management Service(KMS)内で管理されるもので、今後数日のうちにプレビューされる。Cloud KMSのキーは顧客管理暗号化キー(CMEK)と呼ばれ、CMEKでCloud Runのデータを保護する場合、CMEKキーはGoogleによって制御されるわけではないので、これらのキーが無効化または破棄されると、Googleを含む誰もその暗号化キーで保護されたデータにアクセスできなくなる。
さらに、Cloud RunはデフォルトでCompute Engine VMと同じID(デフォルトのCompute Serviceアカウント)で実行されるが、新たに「Recommendation Hub」に最小限の権限セットでCloud Run専用アカウントを作成するための推奨事項が表示されるようになっている。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
