Google Cloud
Zero Trust (IAP + Cloud Armor)
Identity-Aware Proxy + Cloud Armor + Secret Manager + Security Command Center のゼロトラスト構成。VPNなしで社内アプリへの安全なリモートアクセスを実現し、BeyondCorpモデルによるユーザーIDとデバイス状態ベースのアクセス制御を提供します。
アーキテクチャ構成図
ユーザー
任意のネットワーク
Cloud Armor
WAF / IPホワイトリスト / DDoS防護
Identity-Aware Proxy
Google ID認証 / BeyondCorp
Access Context Manager
デバイスポリシー検証
Cloud Run / GKE
アプリケーション本体
Secret Manager + Security Command Center
シークレット管理 / 脅威監視
↑ リクエスト / データの流れ(上から下)
採用サービス構成
- アクセス制御
- Identity-Aware Proxy (IAP)
- WAF
- Cloud Armor
- シークレット
- Secret Manager
- 脅威検知
- Security Command Center
代表的なユースケース
- ✓VPNレス社内ツールアクセス (BeyondCorp)
- ✓GKEワークロードの認証・認可
- ✓コンプライアンス要件対応 (SOC2 / ISO27001)
- ✓SaaS管理画面のIP制限代替
このパターンを選ぶ判断基準
リモートワーク環境で社内ツール・管理画面へのVPNレスアクセスを提供したい場合や、Googleワークスペースアカウントによるゼロトラストアクセスを実装したい場合に最適です。