2020-09-29
 末岐 碧衣

[2020年9月] Cloud Architect(Googleプロ認定資格)合格への道:第7回 GCPのセキュリティ

どうも、末岐碧衣です。

7月に Data Engineer 取ったばかりですが、9月末に今度は Cloud Architect に挑戦することになりました。

ということで、あと2週間切ってますが(!)、前回合格できた Professional Data Engineer の時と同じ手順で、お金をかけず、短期間で勝負を決めたいと思います。

私は技術畑をずっと歩いてきたエンジニアではないので、文系だったりあんまりI Tに自信ないけど、Google Cloud Certified プロ認定試験に挑戦して、資格取りたい!という方には参考にしていただける内容になると思います。

 

なお、このGoogleの教育プログラムなどに一切お金を使わず、2週間で集中学習する手順は、模試の受験が必須です。まだの方は、まずは模試を受験してみてください。その辺の手順は第1回の記事で詳しく記載しています。

 

今回のメインテーマ:GCPのセキュリティ

模試でいうと、11〜13問目までです。

模試:11問目

模試:12問目

模試:13問目

 

暗記ポイント① Cloud Storageへのデータ転送

Cloud Storageへのアクセス

  • gsutil:コマンドラインから Cloud Storage にアクセスできる Python アプリケーション。HTTPS と Transport Layer Security(TLS)を使用して、アップロードとダウンロードを含むすべてのオペレーションを実行する。
  • GCS REST API:プログラムから Cloud Storage にアクセスできる。JSONとXMLがあり、JSONの方が実装は楽。いずれもHTTPで転送する。
  • Storage Transfer Service:オンライン データ のインポート用サービスです。データソースは、Amazon Simple Storage Service(Amazon S3)バケット、HTTP/HTTPS のロケーション、Cloud Storage バケッ トのいずれか。

※gcloud はGCPタスク(VMインスタンスを起動したり、デプロイしたり)用のコマンドインターフェースでCloud Storage へのアクセス権は含まれない。

 

CloudStorageへのアップロードリクエスト3種

  • 簡単なアップロード:ファイルが小さい、メタデータを含めない場合
  • マルチパートアップロード:ファイルが小さい、メタデータを含める場合
  • 再開可能なアップロード:ファイルが大きい(か不明)、ストリーミング転送など、信頼性の高い転送を行いたい場合

 

暗記ポイント② トランスポート層のセキュリティ

SSLとTLSの違い

Transport Layer Security(TLS)、およびその前身であるSecure Sockets Layer(SSL)は、通信セキュリティのための暗号化プロトコル。

TLSの目的は、プライバシーとデータの整合性を提供すること。データの暗号化には対称暗号化が使われるので、接続はプライベートになる。

通信する当事者の身元は、公開鍵暗号を使って認証する。

 

公開鍵基盤(PKI)

公開鍵インフラストラクチャ(PKI)は、特定の公開鍵が特定のエンティティに属していることを確認するために使用されるデジタル証明書を作成、保存、および配布するためのシステムです。

PKIは、公開鍵をエンティティにマップするデジタル証明書を作成し、これらの証明書を中央リポジトリに安全に保存し、必要に応じて失効させます

PKIでは、サーバーとクライアントの両方が署名済み証明書を取得し、 クライアントとサーバーの両方を検証する必要があるため、メッセージ送信元のユーザの特定も可能。

 

暗記ポイント③ Cloud Key Management Service(KMS)

単一の集中型クラウド サービスで暗号鍵の作成、インポート、管理を行い、暗号化オペレーションを実行できます。

 

ハードウェア セキュリティ モジュール(HSM)

ソフトウェア保護とハードウェア保護をボタン 1 つで切り替えて、暗号鍵を保護できる。

 

Cloud External Key Manager(EKM)

外部キーマネージャー。データと暗号化キーを完全に分離できる。

Googleインフラの外部にデプロイされたサードパティのキー管理システムに保存・管理される暗号化キーをそのまま使い、BigQueryとComputeEngineで保存されているデータを保護できる。

暗号化キーそのものではなく、キーの出所を管理するので、サードパーティで鍵が変更されることを意識する必要がない。

 

意味不明だったキーワード

MIME タイプ

メディアタイプ (別名 Multipurpose Internet Mail Extensions または MIME タイプ) は、文書、ファイル、またはバイト列の性質や形式を示す規格。

インターネットの電子メールでさまざまなフォーマットを扱えるようにするためのもの。

 

やっと折り返し地点!試験は明日だーがんばれ自分!涙

 

次回に続く!

それでは!

末岐 碧衣
  • 末岐 碧衣

  • フリーランス のシステムエンジニア。独立後、一度も営業せずに月収 96 万円を達成。1986年大阪生まれ。早稲田大学理工学部卒。システムエンジニア歴 12年。
    2009年、ITコンサルティング企業に入社。3年目でコミュ障が爆発し人間関係が崩壊。うつにより休職するも、復帰後はコミュ障の自覚を持ち、「チームプレイ」を徹底的に避け、会社組織内においても「一人でできる仕事」に専念。社内外から評価を得た。
    無理に「チームプレイ」するよりも「一人でできる仕事」に専念した方が自分も周囲も幸せにできることを確信し、2015年フリーランスとして独立。

もうへっぽこSEとは言わせない!?Google Cloud Certifiedプロ認定試験への道