BeyondCorp
BeyondProd

Googleがクラウドネイティブのセキュリティに対するアプローチを詳解

次の記事

クラウドファンディングのMakuakeがアリババ傘下の「造点新貨」と連携、中国でのテストマーケや越境ECが容易に

Googleのさまざまなホワイトペーパーは、同社が特定の問題をどのように解決するのかを、長年にわたって大規模に詳述してきた。それが、定期的に新しいスタートアップのエコシステムを生み出したり、他の企業が独自のツールを拡張する際の方針を左右することもある。米国時間の12月17日、同社はクラウドネイティブ・アーキテクチャをどのようにして安全に維持するかについて、詳しく説明した新しいセキュリティホワイトペーパーを公開した。

画像クレジット:Beata Zawrzel/NurPhoto/Getty Images

BeyondProdという名前が示すように、これは数年前に同社が最初に導入したBeyondCorpと呼ばれるゼロトラストシステムを拡張したもの。BeyondCorpが、セキュリティを、境界にあるVPNとファイアウォールから切り離し、個々のユーザーとデバイスに転嫁しようとするものだったのに対し、BeyondProdは、Googleのゼロトラストアプローチによって、マシン、ワークロード、サービスを接続する方法に焦点を合わせたものとなっている。

当然ながらBeyondProdも、BeyondCorpとほとんど同じ原則に基づいており、末端のネットワーク保護、サービス間の相互非信頼、既知のコードを実行するトラステッドマシン、自動化および標準化された更新のロールアウト、隔離されたワークロードを含むものとなっている。もちろん、これらはすべて、クラウドネイティブ・アプリケーションの保護に焦点を当てたもの。そうしたアプリは、一般にAPIを介して通信し、最新のインフラストラクチャ上で実行される。

「つまりこうしたコントロールは、内部で実行されるコンテナとマイクロサービスがデプロイされ、相互に通信し、隣り合って安全に実行できることを意味します。これにより、個々のマイクロサービス開発者に、セキュリティと、基盤となるインフラストラクチャの実装の詳細に関する負荷をかけることなく、セキュリティを実現できるのです」とGoogleは説明している。

Googleはもちろん、同社のGKEや、ハイブリッド型クラウドプラットフォームAnthosといった独自のサービスを通じて、こうした機能のすべてを開発者が利用できるようにすると明言してしている。さらに同社は、企業が多くのオープンソースツールを使用して、同じプラットフォームに準拠したシステムを構築できるようにすることも強調している。そこには、Envoy、Istio、gVisor、その他のプラットフォームが含まれる。

「BeyondCorpが、境界ベースのセキュリティモデルを超えるものとして、われわれのアプローチを進化させてくれたのと同じように、BeyondProdはプロダクションセキュリティに対するアプローチにおける同様の飛躍を実現するでしょう」と、Googleは言う。「BeyondProdモデルに含まれるセキュリティの原則を、各自のクラウドネイティブのインフラストラクチャに適用することで、当社の経験を活用して、ワークロードの分配、通信のセキュリティ保護、他のワークロードへの影響、といった部分を強化できるのです」。

このホワイトペーパー全体は、ここで読むことができる。

原文へ

(翻訳:Fumihiko Shibata)