問題は、Google Cloud アプリケーションが外部ウェブサービスにアクセスする必要があり、このアクセスを監視、制御、およびログに記録する機能が必要であることを示しています。外部ウェブアクセスの監視、制御、ログ記録: これは具体的には、HTTP/S トラフィックを傍受、検査、ログに記録できるプロキシ ソリューションを指します。セキュア ウェブ プロキシ (SWP): Google Cloud のセキュア ウェブ プロキシは、まさにこのユースケース向けに設計されています。HTTP(S) トラフィックの明示的なフォワード プロキシとして機能し、組織がきめ細かなアクセス制御を実装し、トラフィックをセキュリティ脅威から検査し、Google Cloud 環境からのすべての送信ウェブ リクエストをログに記録できるようにします。抜粋参照:「セキュア ウェブ プロキシは、明示的なフォワード プロキシをデプロイおよび管理して、組織の内部リソースをウェブベースの脅威から保護し、外部ウェブ アプリケーションへのアクセスを制御できるマネージド サービスです」および「セキュア ウェブ プロキシを使用すると、さまざまな属性に基づいてきめ細かなアクセス ポリシーを適用し、プロキシによって処理されるすべての HTTP(S) リクエストをログに記録し、ウェブ トラフィックの脅威を監視できます」(Google Cloud ドキュメント: https://cloudgooglecom/secure-web-proxy) 他の点を評価してみましょう。オプション:
A サービスが必要な外部ウェブサービスの IP アドレスにアクセスできるように VPC ファイアウォール ルールを構成します。VPC ファイアウォール ルールはレイヤ 4（TCP/UDP）とレイヤ 3（IP）で動作します。特定の IP アドレスとポートへのトラフィックを許可または拒否できますが、アプリケーション レイヤで HTTP/S リクエストをモニタリング、制御、またはログに記録することはできません。アクセスされるウェブサービスに対するきめ細かな制御や、リクエストのコンテンツの検査は提供されません。C Google Cloud Armor を構成して、受信トラフィック パターンで攻撃パターンをチェックすることで、アプリケーションをモニタリングおよび保護します。Google Cloud Armor は主に分散型サービス拒否（DDoS）対策およびウェブ アプリケーション ファイアウォール（WAF）サービスです。外部ウェブサービスへの送信アクセスを制御およびログに記録するのではなく、受信脅威（上りトラフィック）からアプリケーションを保護することに重点を置いています。D VPC からの下りトラフィックを許可するように Cloud NAT インスタンスを設定します。Cloud NAT を使用すると、外部 IP アドレスを持たないインスタンスでもインターネットに接続できます。下りは有効ですが、アプリケーション レイヤで特定のウェブサービスをモニタリング、制御、またはログに記録する機能は提供されません。これはネットワーク アドレス変換サービスであり、アプリケーション層プロキシしたがって、セキュア ウェブ プロキシを設定することは、Google Cloud アプリケーションから外部ウェブ サービスへのアクセスを監視、制御、およびログに記録するという要件を満たす最も適切なソリューションです。

Google Kubernetes Engine（GKE）上で実行されるインターネット向けアプリケーションのコンテナの攻撃対象領域を最小限に抑えるには、小さなベースイメージを使用して小さなコンテナを構築するのがベストプラクティスです。このアプローチは、次のような点で役立ちます。
脆弱性の削減: ベースイメージが小さいほど、パッケージと依存関係が少なくなり、攻撃者が悪用する可能性のある潜在的な脆弱性が最小限に抑えられます。
セキュリティの強化: distroless や Alpine Linux などの最小限のベース イメージを使用すると、必要なコンポーネントのみが含まれ、攻撃対象領域が大幅に削減されます。
メンテナンスが容易: コンテナが小さいとメンテナンスや更新が容易になり、不要なコンポーネントを扱うことなくセキュリティ パッチを迅速に適用できます。
実装手順:
最小限のベースイメージを選択します。
gcr.io/distroless/base や alpine などのベースイメージを使用します。
gcr.io/distroless/base から myapp /myapp にコピー CMD ["/myapp"]
コンテナイメージを最適化:
不要なツールとライブラリを削除します。
最終イメージを小さく保つために、マルチステージビルドを使用します。
ベースイメージを定期的に更新する:
最新のセキュリティ パッチを適用してベース イメージを最新の状態に保ちます。
参照：
Distroless イメージ
コンテナ構築のベストプラクティス

Google Cloud Platform で実行されていたあらゆる時点の履歴記録を維持するには、Forseti Security を使用してインベントリ スナップショットを自動化する必要があります。Forseti Security は、GCP リソースのインベントリ スナップショットを取得することで、GCP のセキュリティとコンプライアンスを自動化するオープンソース ツールキットです。
ステップバイステップ:
* Forseti Securityをインストールします。
* インストール ガイドに従って、Forseti Security を GCP 環境にデプロイします。
* インベントリを構成する:
* Forseti でインベントリ モジュールを設定し、GCP リソースのスナップショットをキャプチャして保存します。
* スナップショットのスケジュール:
* Forseti の設定を使用して、定期的なインベントリ スナップショットをスケジュールします。
* 履歴データにアクセス:
* Forseti のダッシュボードまたは Forseti データベースを照会して、履歴レコードを確認してアクセスします。
* コンプライアンスと監視: Forseti を使用してコンプライアンスを確保し、時間の経過に伴う変化を監視します。
Forseti セキュリティの概要
在庫モジュール