技術部落格

集結國內外精選文章,掌握最新雲端技術新知與應用
Loading...
共同創作者:Richie Liu, Ravenna Yang, Judy Chou 校閱者:Veck Hsiao   企業為了讓網站訪客或開發者能夠即時從 Google Cloud Storage 存取所需要的物件(object),Google Cloud Storage 管理者有時會因為方便性,將物件的存取權限設為 public access,作為公開網址來服務,讓任何人都可以即時瀏覽及下載需要的物件。但由於 Google Cloud Storage 本身沒有 DDoS 防禦機制,而...
保護雲端憑證已經成為一個如《白鯨記》般的挑戰,這是一項巨大的問題,卻難以發掘更簡單的解決方案。同時,憑證安全的問題也普遍存在,根據 Google Cloud 的 2023 年第三季度威脅展望報告,超過 69% 的雲端破壞事件是因憑證問題引起的:包括安全度低的密碼、缺乏密碼和暴露的 API。 然而,與《白鯨記》不同,這個故事可能會有個 happy ending,企業可以透過保護服務帳戶來降低他們面臨的憑證相關風險。 服務帳戶是雲端管理中的基本工具。它們代表應用程式進行 API 調用,並依賴於 IA...
Google Cloud 的 Organization Policy Service 能幫助你控制資源配置,並在雲端環境中建立護欄。透過自定義組織原則這個新的強大的擴充功能,我們現在可以創建細緻的資源原則,幫助我們達成雲端治理的要求。這項新的功能,現在已經一般可用 (GA),還附帶 dry run 模式,讓你能安全地推出新的原則,而不會影響你的生產環境。     Org Policy Service 可以幫助你建立安全護欄。這些護欄只允許在你的雲端組織中配置符合規定的資源。透...
當工作負載需要在沒有終端使用者參與的情況下存取資源或進行操作時,就會需要使用到 Google Cloud 上的服務賬戶。有多種使用服務賬戶進行認證的方法,包括將服務賬戶作為 Google Compute Engine 執行實體的一部分、或者冒充服務賬戶,或者使用帶有密鑰文件的服務賬戶,使用服務帳戶進行認證是一個應該需要慎重考慮的選項。   一個共同的目標是在 Google Cloud 上實現無密鑰的服務賬戶架構,但這在整個組織中可能是較難實現,團隊可能選擇生成服務賬戶密鑰的原因有很多,...
隨著越來越多的應用程式遷移到雲端,雲網路安全團隊必須保護它們免受不斷變化的威脅環境的影響。 保護應用程式免受網路威脅也是合規性的最重要標準之一。 有效的入侵檢測,像是支付卡行業數據安全標準 - PCI DSS 3.2.1 的要求。 為了應對這些挑戰,許多雲網路安全團隊基於開源或第三方 IDS 組件構建了自己的複雜網路威脅檢測解決方案。 這些客製化解決方案可能難以操作且成本高昂,而且它們通常缺乏保護動態雲應用程序所需的可擴展性。 今年早些時候,我們發布了 Cloud IDS,這是一種新的雲原生網路...
程式寫好部署完畢、執行環境準備完成、資料庫就緒,服務準備上線了! 等等!在 Google Cloud 上開放服務之前,你有沒有確認過服務是不是能夠被正常存取呢?是不是有內部使用的服務能被外人存取呢?在這裡我們帶你看看 GCE firewall ,讓您瞭解透過使用 GCE firewall 能夠為您的服務做到何種程度的存取控制,在維持可以正常提供服務的同時減少讓人有機可乘之處。 準備測試環境 建立測試 GCE firewall 用的 network 。 gcloud compute --proje...
Google Infrastructure Security 設計總覽白皮書 (一) 原文內容於 2017 年初撰寫,僅代表當時寫的現狀。隨著 Google 不斷改進對客戶的保護,Google 的安全政策和系統可能會改變。 Google 基礎設施安全層:從底層的硬體基礎架構開始,到頂層的操作安全層。本文會詳細介紹各層的內容。 Secure Low Level Infrastructure 安全的底層基礎設施 本節中,我們將介紹 Google 如何保護我們的基礎設施最底層 (硬體層),從實體部署到...
Google Infrastructure Security 設計總覽白皮書 (二) 這篇我們將繼續探討 Google 的軟硬體是如何安全的部署在基礎架構上。 服務認證和訪問管理:基礎架構提供服務識別、相互自動驗證、服務間的加密通訊和服務擁有者自訂的訪問規定。 相關文章: Google 資訊安全白皮書:Google Infrastructure Security (一) Google 資訊安全白皮書:Google Infrastructure Security (三) 
一次了解 GCP 近期推出的多項資訊安全新功能 很多人說:資訊安全並沒有所謂的最終目的,反而它是個不斷優化的過程。Google 多年來一直以"為客戶建構安全、可擴展的環境"為首要目標,不斷改善自己的基礎架構設施,近期 Google 再次針對 GCP 各項服務推出了 20 多項能提升資訊安全的功能,GCP 專門家就以這篇文章帶您一窺究竟。 VPC Service Controls (Alpha): 保護敏感數據 目前尚在 alpha 階段,VPC Service Controls 在所有儲存於 A...
Audit Logging 主要功能與關鍵實踐介紹 身為一位稽核人員,您可能要花費許多時間檢閱 log。Google Cloud Audit Logging 是 Google Stackdriver 這套產品中不可或缺的一部分,了解它的運作原理以及如何部署在 Google Cloud Platform (GCP) 上是必備的關鍵技能。在本篇文章中,會討論 Cloud Audit Logging 的主要功能,並提出一些最佳的作法。 預設狀態下,此活動饋送是不會顯示數據存取記錄的,如果希望記錄顯示,...
IAM 基本概念 誰(identity) 擁有哪些身份 (Role),而這些身份可以做哪些事情。下圖(一)為能夠代表 identity 的帳號或是群組,右方則是各個 Role。圖(二),Role 為 Permissions 的群集。Permissiosn (權限)是指可以對該 Resource 做哪些事情,例如: compute.instance.delete 就是指可以刪除 compute instance 的權限。 透過 IAM,管理員賦予權限給各個 identity,而 identity ...
藉由在資源上設定雲端權限管理(Cloud IAM),Cloud Billing 可以讓您控制哪些用戶有對特定資源有進行管理與查看費用的權限。您可以在組織層級、帳單帳戶層級以及(或)專案層級設定 Cloud IAM ,用來授予或限制存取 Cloud Billing 的權限。GCP 資源會繼承父節點的 Cloud IAM 設定,這表示您可以在組織層級設定相關的 Cloud IAM,以將設定套用在組織中所有的帳單張戶、專案和資源上。 您可以透過在帳單帳戶或專案層級設定存取權限,來控制不同用戶或角色在不...
無論是在科技導向的媒體或分析報告中,越來越常看到 API 和「資安」擺在一起,或是 API 與「外洩」負面的詞彙一同出現在標題中。 APIs (Application Programming Interfaces) 不僅能作為應用程式、系統和數據之間的連結,亦是幫助開發人員將數位資產用於新用途的機制。APIs 幾乎包含了所有數位使用案例,在資訊安全的新聞中,APIs 被這樣分類錯誤並非是因為它與生俱來的缺陷,只是因為某些 APIs 遭受入侵,導致 vault 被錯誤分類。但上述提到的媒體標題仍透...
資料外洩的案例層出不窮,監控、相關法律條款、分配來作緊急善後的資源,讓企業對資料外洩所付出的成本迅速增加。根據 IBM 的調查顯示,在美國資料外洩的成本高達 392 萬美元,比 2018 年增加 1.5%,相較於五年前更增加了 12%。接下來,我們將會告訴您 Event Threat Detection 如何透過 log 通知您正面臨高風險危機和高潛在威脅,並協助您做適當的處理。文末影片也會引導您如何操作使用。 如何使用 Event Threat Detection 當您開始使用 Google ...
Cloud Identity 免費版涵蓋核心身分認證與端點管理服務,可為使用者免費提供受管理的 Google 帳戶。使用者可以透過 Cloud Identity 來統一管理帳戶、使用單一登入功能等,還能擁有單一主控台來控管所有帳戶的存取權,藉此來提供提升整體安全性。 在使用 GCP 的某些產品時,會需要用到 Organization(機構)層級的身份。而機構這個資源是需要透過 G suite 或是 Cloud Identity 來建立的。每個 G Suite 或 Cloud Identity 僅...
在大型企業尤其實像是金融產業對於資訊安全的要求一向很高,盡可能減少受攻擊面向是一直在努力的方向。Google Cloud Platform 上面有許多全代管的服務,例如企業級資料倉儲服務 BigQuery、整合式物件儲存空間的 Cloud Storage、作為訊息傳遞和事件擷取平臺的 Cloud Pub/Sub 等等。這些服務不只在 Google Cloud 內部可以使用,只要通過權限認證,在 on-premise 或者其它雲的環境內也都是可以使用。因此我們會需要方法可以設定一些政策,只讓真正應...
當偵測到威脅時,接下來的每一秒都至關重要,但有時可能很難知道威脅是否真的存在,或是該如何應對這些威脅。雲端異常檢測 (Cloud Anomaly Detection) 是一項內建的 Cloud Security Command Center (Cloud SCC) 功能,它透過行為信號來檢測 GCP 專案和虛擬機中的安全異常,例如洩露的憑證或異常活動。透過本篇文章,您將了解如何啟用雲端異常檢測並快速應對威脅。 從 Cloud Security Command Center 啟用雲端異常檢測 在預...
雲端其中一大優勢是其部署服務的便利性,但這樣可能也讓您不夠了解您所運行的服務架構。當您將服務與網路攻擊一併關注時,很明顯地您需要一個能夠查看正在運行的資源、存在的威脅與漏洞以及如何在造成損失前修補漏洞的平台。 Cloud Security Command Center (Cloud SCC) 透過提供集中式 dashboard 來幫助您完成這些任務,它能夠幫助您預防、偵測以及回應您的 GCP 環境中的威脅。您現在可以透過以下五個步驟開始改善你的雲端安全狀況。 步驟1:設定 Cloud IAM 權...
合規性是一個複雜且千變萬化的問題,往往造成企業 IT 部門沈重的壓力,隨著資料外洩和違反合規性的成本逐漸增加,防止敏感資料被外洩變得相當重要。雲端資料外洩防護(Cloud DLP) 不僅幫助您更加了解敏感資料和個人身份資訊 (PII),也協助您妥善的管理以符合合規需求。Cloud DLP 提供快速且高擴充的資訊分類及校訂,像是信用卡號、姓名、身份證字號、電話號碼、GCP 憑據 (credentials)。只要在  Cloud Storage 的介面上點擊幾個簡單的設定,Cloud DLP 便會開...
上一篇文章中,我們簡介了目前常見的 DDoS 攻擊趨勢;攻擊者透過大量無效流量,癱瘓受攻擊方的服務運作。而 Google 官方也大致針對常見的幾個關鍵指標進行分類,依照攻擊的強度分為:bps(每秒傳送的位元數)、pps(每秒傳送的網路數據封包數)、rps(每秒的 HTTP(S) 請求數)作區分。這篇文章,我們將帶您了解這三類的攻擊,以及 Google Cloud 又有哪些產品可以協助業者有效防範 DDoS 攻擊。請繼續閱讀了解。 bps(每秒傳送的位元數) Google 本次公開過去受攻擊活動的...
維護產品、設備和程式的安全性,是企業的必要需求。研究人員(或駭客!)每天都會發現新的安全漏洞。或許,有些公司認為他們的規模並不足以成為駭客的目標,但事實上,若是在分散式阻斷服務攻擊 (DDoS) 的情況下,駭客會隨機占用主機(數量越多越好)來達到特定目標。資安不能是事後諸葛,對於任何有雲端連接設備的公司來說,最好的方法就是加強身份識別、安全加密及存取控管。但在物聯網世界中,這個過程並不像聽起來那樣簡單。 接下來我們會介紹 Acme 的故事,這是一家假想的公司,它們正計劃推出新一代的雲端連接設備。...
全球處理器深陷安全疑慮 GCP應對最新狀態 英國媒體 The Register 於1月2號的報告揭露,半導體大廠英特爾的 CPU 底層架構存在嚴重的缺陷。然而這次並非只有 Intel 受到影響,其他處理器供應商 AMD、ARM 也中招,系統大廠微軟指出:這是一個影響整個產業的安全問題。 潛在危機 事實上,這次的風暴是由「推測執行」(speculative execution) 安全漏洞所引起,它讓駭客有機會讀取部分受保護的核心記憶體資料,並更輕易地發現其他安全漏洞,舉凡密碼、登入資訊、暫存檔案等...
您的監控好夥伴 - Stackdriver! Google 於 GCP NEXT 2016 興奮地再次發佈了 Stackdriver 的消息。它提供了rich dashboards, 監控, 警告, log 紀錄分析, 追蹤(tracing), 錯誤回報(error reporting)及生產環境除錯(production debugging) ,是一個跨足了 GCP 及 AWS 的統一性服務。Stackdriver 有效地大幅減少團隊在生產時花費的尋找錯誤及修復錯誤的時間。本篇介紹Stackd...
全新計價方式:以 Log 累積使用容量計價 Stackdriver Logging: •  每個月給予一個 project 50GB的免費使用量,每 1GB 的用量 0.5美金,Log 資料會保留30天,假如需要保留 30天之前的資料,可以 export 資料至 storage 或是 BigQuery。 •  Cloud Audit Logging 包括 Admin activity logs 以及 Data Access logs 是預設開啟的並不會收費。      •  Admin acti...
本篇文章將以「monitoring」、「logging」為分類,逐步教學如何在 Windows 及 Linux 上安裝 Stackdriver agent,以及如何在 Stackdriver 上新增快訊政策 (Alert Policy)。 在 Windows 上安裝 Stackdriver agent Stackdriver monitoring on Windows: RDP 連進 Windows server 若有使用 HTTP proxy,須先以 administrator 身份執行以下指...
前段時間 Google Cloud 在 Cloud Monitoring 中新增了 Dashboard API,除了使用 Google Cloud Console 進行管理外,還提供您以程式設計方式管理自訂儀表板和圖表。從那時開始,Google Cloud 就陸續提供許多針對特定 Google Cloud 服務的儀表板範例。很多客戶也有提出需求希望 Google Cloud 提供 Terraform 模組,以便設置自動部署的流程。 同時,Google 也分享其全新建立的 GitHub repos...
記錄檔 (log) 在處理故障排除時相當重要。提到記錄檔,Google Kubernetes Engine (GKE) 整合了 Google Cloud 的記錄檔服務 Cloud Logging。如果您從未調查過你的 GKE 記錄檔或 Cloud Logging,歡迎閱讀這篇文章,本文介紹 Cloud Logging 在 GKE 中的運作方式,以及它如何配置、查找,以及如何與 Cloud Logging 中儲存的 GKE 記錄檔進行有效的互動。 你的 GKE log 是如何進到 Cloud Lo...
對應用程式或部署進行故障排查時,每一秒都至關重要!Cloud Logging 讓您能在不到一分鐘之內,通過彙整來自 Google Cloud / 地端 / 其他雲端的記錄,建立索引並將日誌 (log) 彙整成監控指標 (metrics),使用錯誤報告掃描特定錯誤訊息以及使日誌可供搜索,來幫助您進行故障排除。現在,Google 為串流日誌建構了 2 個新功能,可讓您從日誌資料中獲得更新的見解。 根據 Linux 用戶的普遍需求,Google 添加了一個新工具來模仿 tail -f 命令的行為,該工...
回到頂端