一次了解 GCP 近期推出的多項資訊安全新功能
很多人說:資訊安全並沒有所謂的最終目的,反而它是個不斷優化的過程。Google 多年來一直以”為客戶建構安全、可擴展的環境”為首要目標,不斷改善自己的基礎架構設施,近期 Google 再次針對 GCP 各項服務推出了 20 多項能提升資訊安全的功能,GCP 專門家就以這篇文章帶您一窺究竟。
VPC Service Controls (Alpha): 保護敏感數據
目前尚在 alpha 階段,VPC Service Controls 在所有儲存於 API-based (例如: Google Cloud Storage,BigQuery 和 Bigtable) 的數據周圍架構了一個安全邊界(security perimeter)。這將有效降低因為身份被盜、IAM 策略配置錯誤、惡意內部人員和虛擬機被入侵,而衍伸的數據洩露風險。
透過這種託管服務,企業可以使用 Cloud VPN 或 Cloud Dedicated Interconnect 來配置雲端 resource 與混合 VPC 網路之間的私密通信。將安全邊界從本地端網路擴展到存儲在 GCP 服務中的數據,企業可以放心地將其資料存儲在雲端,並透過 on-prem 的環境或 cloud-based 的 VM 去存取數據。
了解更多:https://cloud.google.com/vpc-service-controls/
Cloud Security Command Center (Alpha): 深入了解數據和應用程式風險
Cloud Security Command Center 目前處於 alpha 階段,可以讓您在統一的操作介面中,查看並監控 Cloud resource 清單、掃描存儲系統以辨識敏感數據、檢測常見網路漏洞、審核關鍵資源的訪問權限。
它與 DLP (Data Loss Prevention) API 結合,以幫助辨別敏感資料,並透過 Google Cloud Security Scanner 發現漏洞 (例如:Cross-site scripting(XSS) 和 Flash injection)。我們可以藉由 Cloud Security Command Center 來管理訪問控制權限、透過結合 Forseti (一個開源GCP安全工具套件) 來接收無預期更動的警告、並透過 Google anomaly detection, Cloudflare, CrowdStrike, Dome9, Palo Alto Networks, Qualys, RedLock 等第三方合作夥伴,來偵測威脅和可疑的活動。
了解更多:https://cloud.google.com/security-command-center/
Access Transparency (Beta): Google 在背後做了哪些事
透過 Access Transparency,Google 將提供一份由 Google support 以及 Google engineer 授權管理訪問的 audit log。這個 log 是即時的,它跟 Google Cloud Audit log 一樣,將同時記錄到您的 Stackdriver loggin console 當中。
透過結合 Google Cloud Audit Log 和 Access Transparency Log,您將可以對 GCP 中的 administrative activity 有更全面的的了解。
了解更多:https://cloud.google.com/access-transparency/
Cloud Armor (Beta): 抵擋外部攻擊
一種針對分佈式阻斷服務(DDoS)和應用層攻擊的防禦服務,它跟保護 Google Search、Gmail、YouTube 運用的是相同的技術。
Global HTTP(S) Load Balancing 內建了一個能針對基礎架構 DDoS 做防禦的機制。除了配置負載平衡外,您不需要做額外的配置。Cloud Armor 可以和 Cloud HTTP(S) Load Balancing 搭配使用,提供 IPv4 和 IPv6 白名單/黑名單、抵擋像是 Cross-site scripting (XSS) 和 SQL injection (SQLi) 這類針對應用服務的攻擊、並針對所在的地理位置進行存取的控制。
您可以透過 Cloud Armor 客製化您的防禦措施,您可以結合 Layer 3 到 Layer 7 的參數來抵擋多重(兩種或以上)的攻擊組合。Cloud Armor 會針對每個 request 和對應的 行為做記錄並向 Stackdriver 發送信息,所以您能查看那些被阻止或是被允許的網路流量。
了解更多:https://cloud.google.com/armor/
DLP (Data Loss Prevention) API
它是一種託管服務,用於發現分類和編輯存儲在資產中的敏感信息。在去年推出測試版後,現在 DLP API 已正式 GA,由於 DLP API 就是 API,所以它可以用在幾乎所有資料源或業務應用程式(不論它是存放在 Google Cloud Storage、BigQuery、第三方雲、或是本地數據中心)。此外,它可以使用 DLP API 檢測編輯敏感訊息,並針對靜態數據集進行批次處理。
了解更多:https://cloud.google.com/dlp/
Cloud Identity
Cloud Identity 提供一個簡單又安全的方法,允許任意終端裝置存取雲端應用。它可以讓企業可以輕鬆管理那些需要訪問 GCP 資源的使用者和群組。Cloud Identity 是一個完整的身份即服務(IDaaS)的解決方案,它在企業安全、應用管理、設備管理中,增加了更多進階功能,並提供企業一個簡單又安全的管理方式:允許使用者在任意裝置上存取雲端應用。
了解更多:https://cloud.google.com/identity/