PCA

[kokoichi206]

• Google Cloud Directory Syncを使用して、Active Directoryのユーザー名とクラウドのIDを同期し、SAML SSOを設定する
• リソースの配備先を制限する組織ポリシーを設定する
• Cloud Audit Logsは、管理者の活動、データアクセス、システムイベントなどの監査ログを保持します
  • BigQueryのクエリログデータ
• カオスエンジニアリング
• Bigtable
  • ML、運用分析、ユーザー向けアプリケーションの大規模な活用に適した、エンタープライズ グレードの低レイテンシ NoSQL データベース
  • https://cloud.google.com/bigtable/docs/schema-design?hl=ja#row-keys
  • https://cloud.google.com/bigtable/docs/keyvis-overview?hl=ja
  • Cloud Data Loss Prevention(DLP) APIによるデータの非識別化
  • データを保存する際に、個人情報やカード情報を消去
  • クラウドかオンプレミスかを問わず、ほぼあらゆるワークロードで使える
  • https://cloud.google.com/architecture/pci-dss-compliance-in-gcp?hl=ja#using_data_loss_prevention_api_to_sanitize_data
• ログエクスポートのシンク先
  • Cloud Storage, Big Query
• Cloud Monitoring（旧称 Stackdriver Monitoring）
• Dedicated Interconnect
  • https://cloud.google.com/network-connectivity/docs/interconnect/concepts/dedicated-overview?hl=ja
• Dataproc
  • https://cloud.google.com/dataproc?hl=ja
• Datastore
  • ウェブアプリとモバイルアプリのためのスケーラビリティが高い NoSQL データベースです。
  • Firestore
• Cloud SQL
  • HA 構成
  • クラスタ
  • データの冗長性
  • そもそも Cloud SQL はリージョナルサービス
• Storage
  • 保持ポリシー
  • https://cloud.google.com/storage/docs/using-bucket-lock?hl=ja
• PII（ピーアイアイ）
  • 個人を特定できる情報（Personally Identifiable Information）の略
  • 氏名や住所、電話番号、メールアドレス、顔写真、身分証番号などの個人を識別するために使用できる情報
• BigQuery
  • Google Cloudにおいて機械学習の教師モデルを蓄積
  • https://cloud.google.com/bigquery/docs/create-machine-learning-model?hl=ja
• Cloud Monitoring
  • アプリケーションとインフラストラクチャのパフォーマンス、可用性、健全性を可視化
  • アップタイムチェック
  • Google Cloud 外のサービスも可能
• GKE
  • Binary Authentication: https://cloud.google.com/binary-authorization/docs?hl=ja
  • 一元化されたソフトウェア サプライ チェーン セキュリティ
  • StatefulSet
  • スケジュールされた場所にかかわらず GKE が保持する一意で永続的な ID と固有のホスト名を持つ「ポッド」のセット
  • GKE 内で実行するアプリケーションから Google Cloud サービスにアクセスする
  • セキュリティ特性と管理性が向上している Workload Identity がよい
• トークン化
  • PCI（Payment Card Industry）スコープを狭めるという観点からベストプラクティス
• HIPAA
  • 電子化した医療情報に関するプライバシー保護・セキュリティ確保について定めたアメリカの法律
  • https://cloud.google.com/security/compliance/hipaa?hl=ja
  • Google Cloudのドキュメントで認証を受けているサービスを確認し、それ以外のものは「無効化」する必要
• PCI DSS
  • クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準
• Stackdriver Logging → Cloud Logging
• Binary Authorization
  • コンテナベースのアプリケーションにソフトウェア サプライ チェーンのセキュリティを提供
  • https://cloud.google.com/binary-authorization/docs?hl=ja
  • 構成したポリシーに基づいてイメージのデプロイを許可またはブロック
• Transfer Appliance
  • snowball
  • 1 ヶ月はかからないくらいで構築
• Firestore
  • Datastore の次のメジャーバージョンらしい
  • 数百万回/s の書き込みが可能
• サーバーレス VPC アクセス
  • https://cloud.google.com/vpc/docs/serverless-vpc-access?hl=ja

[kokoichi206]

組織ポリシー

• ドメイン別の ID の制限
  • https://cloud.google.com/resource-manager/docs/organization-policy/restricting-domains?hl=ja
  • 組織が 2024 年 5 月 3 日以降に作成された場合、この制約はデフォルトで適用され、使用できる値としてドメインのみが指定されます。