GCPの監査ツール「Forseti Security」を追う(第1回「挫折」)
先日、TrivyでAWSのセキュリティチェックができるようになりましたね(参考:クラスメソッドさんのブログ)。
GCP(Google Cloudと呼ぶ人もいるらしい)も近日対応予定!って感じみたいですが、直近さくっとチェックしたいニーズがあったので調べたところ、まずSpotifyが開発していたらしい、gcp-auditというリポジトリに辿り着きました。しかし、すでに開発が止まっている模様。
gcp-auditのREADMEから、Forseti Securityというツールに行き着きました。
Aboutをざっと読んだ感じ、GCPに特化したCloud Custodianという印象です。Inventoryを収集し、ScannerによってIAMやBacket ACLなどを監査、Enforcerで設定を強制し、Explaoinで可視化する。うーん、Trivyのセキュリティチェックとは、ちょっと毛色が違いそうです。
何はともあれ触ってみようということで、以下に取り組んでみます。
OPEN IN GOOGLE CLOUD SHELLをクリックすると、何やらチュートリアルっぽいものが始まりました。 GCPは進んでますね。
ちょっと進んだところでOrganization IDというものを要求されたのですが、なんじゃそれとなって断念。きっとAWSのArganizationと同じようなものだと思うんですが、私の体力とGCP力が足りず。また気が向いたらリベンジします。