GCE VMのCentOS7とCentOS6のMeltdown, Spectre対応状況まとめ

grasys加藤です。

2018年が始まってすぐに数多のエンジニアを恐怖させたCPUの実装に関連する3つのCVE=通称MeltDown, Spectreバグ。

CVE-2017-5753, CVE-2017-5715, CVE-2017-5754

本当はすべて終わってから記事にしようと思いましたが時間がかかりそうなので一旦まとめることにして、随時更新をしていきます。

» Read More...

ForsetiSecurityをデプロイしてみた話

ForsetiSecurityとは?

GoogleとSpotifyが共同開発中オープンソースのGCPリソースセキュリティ確保のためのツールです。

概要や思想はGoogle Cloud Platform Blogに記述がありますので、こちらを参考にすると良いでしょう。

Forsetiには上記ブログからそのまま引用すると、次のような機能があります。

Inventory : 既存の GCP リソースを可視化します。
Scanner : GCP リソース全体のアクセス制御ポリシーが適切かどうかをチェックします。
Enforcer : GCP リソースに対する問題のあるアクセスを取り除きます。
Explain : GCP リソースに対して誰がどのようなアクセス権限を持つかを分析します。

Enforcer, Explainに関しては現状ほとんど実装されていない状態なので、InventoryとScannerの機能を使ってポリシー違反を検知できるようにしたいと思います。

» Read More...