一次了解 GCP 近期推出的多项资讯安全新功能
很多人说:资讯安全并没有所谓的最终目的,反而它是个不断优化的过程。Google 多年来一直以”为客户建构安全、可扩展的环境”为首要目标,不断改善自己的基础架构设施,近期 Google 再次针对 GCP 各项服务推出了 20 多项能提升资讯安全的功能,GCP 专门家就以这篇文章带您一窥究竟。
VPC Service Controls (Alpha): 保护敏感数据
目前尚在 alpha 阶段,VPC Service Controls 在所有储存于 API-based (例如: Google Cloud Storage,BigQuery 和 Bigtable) 的数据周围架构了一个安全边界(security perimeter)。这将有效降低因为身份被盗、IAM 策略配置错误、恶意内部人员和虚拟机被入侵,而衍伸的数据泄露风险。
透过这种托管服务,企业可以使用 Cloud VPN 或 Cloud Dedicated Interconnect 来配置云端 resource 与混合 VPC 网络之间的私密通信。将安全边界从本地端网络扩展到存储在 GCP 服务中的数据,企业可以放心地将其资料存储在云端,并透过 on-prem 的环境或 cloud-based 的 VM 去存取数据。
了解更多:https://cloud.google.com/vpc-service-controls/
Cloud Security Command Center (Alpha): 深入了解数据和应用程式风险
Cloud Security Command Center 目前处于 alpha 阶段,可以让您在统一的操作接口中,查看并监控 Cloud resource 清单、扫描存储系统以辨识敏感数据、检测常见网络漏洞、审核关键资源的访问权限。
它与 DLP (Data Loss Prevention) API 结合,以帮助辨别敏感资料,并透过 Google Cloud Security Scanner 发现漏洞 (例如:Cross-site scripting(XSS) 和 Flash injection)。我们可以借由 Cloud Security Command Center 来管理访问控制权限、透过结合 Forseti (一个开源GCP安全工具套件) 来接收无预期更动的警告、并透过 Google anomaly detection, Cloudflare, CrowdStrike, Dome9, Palo Alto Networks, Qualys, RedLock 等第三方合作伙伴,来侦测威胁和可疑的活动。
了解更多:https://cloud.google.com/security-command-center/
Access Transparency (Beta): Google 在背后做了哪些事
透过 Access Transparency,Google 将提供一份由 Google support 以及 Google engineer 授权管理访问的 audit log。这个 log 是即时的,它跟 Google Cloud Audit log 一样,将同时记录到您的 Stackdriver loggin console 当中。
透过结合 Google Cloud Audit Log 和 Access Transparency Log,您将可以对 GCP 中的 administrative activity 有更全面的的了解。
了解更多:https://cloud.google.com/access-transparency/
Cloud Armor (Beta): 抵挡外部攻击
一种针对分布式阻断服务(DDoS)和应用层攻击的防御服务,它跟保护 Google Search、Gmail、YouTube 运用的是相同的技术。
Global HTTP(S) Load Balancing 内建了一个能针对基础架构 DDoS 做防御的机制。除了配置负载平衡外,您不需要做额外的配置。Cloud Armor 可以和 Cloud HTTP(S) Load Balancing 搭配使用,提供 IPv4 和 IPv6 白名单/黑名单、抵挡像是 Cross-site scripting (XSS) 和 SQL injection (SQLi) 这类针对应用服务的攻击、并针对所在的地理位置进行存取的控制。
您可以透过 Cloud Armor 客制化您的防御措施,您可以结合 Layer 3 到 Layer 7 的参数来抵挡多重(两种或以上)的攻击组合。Cloud Armor 会针对每个进来的 request 和对应的 action 做记录并向 Stackdriver 发送信息,所以您能查看那些被阻止或是被允许的 traffic。
了解更多:https://cloud.google.com/armor/
DLP (Data Loss Prevention) API
它是一种托管服务,用于发现分类和编辑存储在资产中的敏感信息。在去年推出测试版后,现在 DLP API 已正式 GA,由于 DLP API 就是 API,所以它可以用在几乎所有资料源或业务应用程式(不论它是存放在 Google Cloud Storage、BigQuery、第三方云、或是本地数据中心)。此外,它可以使用 DLP API 检测编辑敏感讯息,并针对静态数据集进行批次处理。
了解更多:https://cloud.google.com/dlp/
Cloud Identity
Cloud Identity 提供一个简单又安全的方法,允许任意终端装置存取云端应用。它可以让企业可以轻松管理那些需要访问 GCP 资源的使用者和群组。Cloud Identity 是一个完整的身份即服务(IDaaS)的解决方案,它在企业安全、应用管理、设备管理中,增加了更多进阶功能,并提供企业一个简单又安全的管理方式:允许使用者在任意装置上存取云端应用。
了解更多:https://cloud.google.com/identity/
iKala - GCP 专门家
GCP 专门家,Google Cloud 首席合作伙伴暨代理商,协助逾 200 家企业使用 Google Cloud,客户广布游戏、媒体、数据广告、电商、金融等多种产业。我们拥有超过 30 位技术人员,更通过 Google 原厂云端架构师及资料工程师认证,具备第一手 GCP 产品开发及导入经验,能提供您扎实的客制化技术服务。
我们提供了多项的 GCP 加值服务:
了解更多: https://gcp.expert/
加入我们: https://goo.gl/rg9D3Q
Facebook Fan Page: https://www.facebook.com/gcp.expert/
联络我们:+886 2 87681110 或请来信 gcp@ikala.tv
