為何你可以更信任Google Cloud?能見度、控制權與自動化的能力

Security_BlogHeader_C
圖片來源:Google Cloud

Google Cloud 提供的每個線上資料中心、鋪設的網絡電纜、部署的服務都是透過安全稜鏡來設計。我們對雲端客戶的承諾是明確的:您擁有並能掌控自己的數據。

在NEXT 2019 大會上,Google Cloud宣布推出各種安全工具,以進一步加強對Google Cloud的信任:提升您對環境的能見度、偵測威脅、加速回應和補救、減輕資料外洩風險、確保安全的軟體供應鏈,並強化政策合規性。這些將對您有所幫助:

  • 在供應商的運營上獲得有意義的監督:資料存取透明化(新的GA和測試版服務,GA for G Suite)以及存取許可(測試版)
  • 防止資料外洩及風險:資料遺失防護(DLP) 使用者介面 (測試版) 和VPC Service Controls (GA)
  • 集中式安全管理:雲端安全管理中心 (GA) 提供新活動威脅偵測 (測試版)、安全健檢分析 (alpha)、雲端安全掃描程序 (新測試版整合) 和 Stackdriver 事件回應與管理 (測試版即將推出)
  • 查看API的安全狀態:Apigee安全報告 (測試版)
  • 協助保護軟體供應鏈:針對Container Registry的映像檔漏洞掃描 (GA); 二進制授權 (Binary Authorization) (GA); GKE   Sandbox(沙箱測試)(測試版); 對於GKE代管的SSL認證 (測試版); 和受防護的虛擬主機 (GA)
  • 控制和保護G Suite數據:G Suite資料區域增強功能 (GA); 強化對於進階的網路釣魚和惡意軟體的防護 (測試版); 安全沙盒(測試版); 安全中心及警示中心共同協作管理並自動化 (測試版)
  • 採用機器學習獲取洞察資訊:政策情報 (alpha)
  • 保持網路安全:網路釣魚防護 (測試版) reCAPTCHA Enterprise (驗證碼系統)(測試版)

信任來自操作與資料的透明度

在雲端經營您的事業並不代表著準備放手一搏。去年我們宣布在GCP上資料存取透明,這是一種獨一無二的服務,可在GCP管理員與您的資料交互處理時,近乎同步的方式創建工作記錄以獲得支援。而資料存取透明也適用於G Suite,現在亦適用於G Suite Enterprise,可顯示Google Cloud員工對G Suite資料的存取次數。在G Suite管理控制台中,我們會記錄每次存取的原因,包含參考相關需求。因此,你可以驗證Google存取你的資料只是為了合理的商業動機,而你也可以根據此訊息來為作稽核資料所需。

在存取透明的基礎上,我們於12月宣布針對GCP的存取許可,這表示在事件發生前,你可以在GCP上明確地存取你的資料或配置。在測試版中存取許可現在適用於Google Compute Engine、Google App Engine、Google Cloud Storage和許多其他服務。這也顯示雲端服務商首次提供涵蓋我們所有員工這種性質的控制。

發現敏感資料與減少洩漏和暴露風險

保護雲端上敏感資料的首要步驟是了解其所在的位置。現在,我們很高興能夠透過資料遺失防護(DLP)使用者介面為企業提供一種在雲端規模上發現和監控敏感資料的新方法(現已在測試版中提供)。藉由此新介面,你不需要寫程式,也不需要管理硬體設備或虛擬機器(VM),只需要幾個點擊就能運作資料遺失防護(DLP),開始進行掃描。

虛擬私有雲(VPC Service Controls,VPC)是你在雲端部署的第一道防線。VPC Service Controls已是正式發行版,它超越現有VPC功能且可讓您以GCP資源為中心來定義安全範圍,例如Cloud Storage buckets、Bigtable instances和BigQuery datasets,以幫助減輕資料外洩風險。

所有GCP工作負載都存在於一個地方

在將工作負載移至雲端時,您需要了解GCP資源的安全狀態。您也需要能夠識別威脅和漏洞,以便快速回應。

去年,我們推出了雲端安全中心(Cloud Security Command CenterCloud SCC),這是一個全面的GCP安全管理和資料風險平台。 Cloud SCC現已普遍推出,提供單一管理平台,可幫助預防、偵測和回應大量GCP服務(App Engine,BigQuery,Cloud Storage,Compute Engine,Google Kubernetes Engine等)中的威脅。

GA項目其中的一部分,我們很高興地宣布第一套預防、偵測和回應服務,可以幫助您發現風險錯誤配置和惡意活動:

  • Event Threat Detection利用Google專有的智能模型快速偵測惡意軟體、虛擬貨幣挖礦和DDoS攻擊等破壞性威脅。它會掃描Stackdriver日誌中的GCP環境中的可疑活動,調岀結果並標記它們以進行修復。
  • Security Health Analytics自動掃描您的GCP基礎架構,以幫助解決來自public storage buckets、開放式防火牆端口、老舊加密金鑰、停用安全日誌記錄等介面配置問題。
  • Cloud Security Scanner可檢測GCP應用程式中的跨站腳本(XSS)、明文密碼和資料庫過時等漏洞,並在Cloud SCC中顯示結果。Cloud Security Scanner是適用於App Engine的GA版,現可用於Google Kubernetes Engine(GKE)和Compute Engine的測試版。
  • Security partner 整合了Capsule8,Cavirin,Chef,McAfee,Redlock,Stackrox,Tenable.io和Twistlock統一了資安調查結果並加快了回應速度。透過在GCP Marketplace上查看我們的合作夥伴以開始使用。

Cloud SCC還可以幫助您回應威脅。 您可以藉由將事件導出到您選擇的SIEM來修復結果,或者在新的Stackdriver事件回應和管理工具中打開並追蹤事件(即將推出測試版)。

深入了解API的安全狀態

暴露在組織內外開發人員的API是攻擊者的另一個目標。Apigee是Google Cloud的API管理平台,包含新的安全報告,讓你全面了解API程序的運作和安全狀況,也能識別不符合安全協議的API和發布最敏感API的用戶組。除了可在Apigee控制台獲得API訪問結果,也能透過API與SIEM工具整合。 Apigee API安全報告即將推出測試版。

軟體供應鏈的整體安全性

使用容器,您需要信任正在運作的映像。今日,我們宣布推出多種GKE服務,以建立你對容器化軟體供應鏈的信心。

在部署週期的早期發現漏洞可避免之後演練時還要亡羊補牢。容器登入(Container Registry)是我們具有安全性的自有Docker註冊中心,包括漏洞掃描,GKE的原生整合以識別Ubuntu、Debian和Alpine Linux的軟體程式集漏洞,因此可在部署容器之前發現漏洞。最初於9月宣布,容器登入(Container Registry)漏洞掃描將能很快被普及。

在將容器部署到GKE叢集之前,你需要確保其符合組織的部署要求。二進制授權是一種部署時安全控制,它與您的CI / CD系統整合,可控制不符合你要求的映像檔。在即將發布的GA版本中,二進制授權可與雲端金鑰管理服務和雲端SCC整合,提供部署時間控制功能,你可藉由用於管理其他安全操作的同一個控制台上進行查看。

即使在一個已知良好的基礎上工作,有時你也需要額外的安全層級。即將推出是基於開源gVisor專案的GKE Sandbox的測試版。GKE Sandbox為多租戶工作負載提供了額外的隔離,有助於防止容器跳脫,並提高工作負載安全性。

GKE現在更提供代管SSL憑證,為您提供GKE ingress憑證的全面管理(配置、部署、續訂和刪除)。現正處於測試階段,代管SSL憑證可以可以對基於GKE的安全應用程式更輕鬆地大規模部署,管理和維運。

最後,為了強化基於虛擬主機的工作負載,Google Cloud提供了受防護的 VM(Shielded VM),它能提供可驗證的Compute Engine VM執行個體的完整性,因此您可以確信它們沒有受到損害。目前已在GCP上部署了超過21,000個受防護的 VM執行個體。而至今日受防護的VM已普遍可用,並為您提供了一種簡單的方法來降低外人篡改虛擬主機的可能性。

控制並保護G Suite資料

我們還宣布了一些新方法來協助保護、控制和修復你在G Suite中建立和儲存的業務資料。

有些組織要求將其資料儲存在特定位置,而我們致力於滿足此需求。G Suite Business和Enterprise客戶可以指定資料儲存在全球、美國或歐洲等。。我們正在拓展資料備份覆蓋範圍的區域。

我們正在推出用於進階網絡釣魚和惡意軟體防護的新(測試版)控件。這些功能帶來的控制可以協助管理員防止在Google網上論壇(Google Groups)中詐欺您的網域的異常附件和內部郵件詐騙。安全沙盒(適用於G Suite企業客戶的測試版)透過在沙盒環境中執行電子郵件附件來查明它們是否具惡意,進而能更好地防範勒索軟體、複雜的惡意軟體和零時差漏洞的威脅。

G Suite的安全中心和警報中心為組織提供最佳實踐建議,統一通知和整合修復,協助管理員採取措施應對威脅。我們希望以協作的方式幫助管理員,以評估其組織安全問題的風險。新的測試版功能能讓管理員在安全調查工具中保存和分享他們的調查結果。在警報中心測試版中,管理員現在可以指示警報狀態和嚴重性,並將警報分配給其他管理員。管理員還可以在安全中心內創建執行自動操作或向警報中心發送通知的規則,管理員和分析師團隊得以協同工作,在完成安全調查時獲取所有權並更新狀態。

ML結合Google資安服務

將配置與安全策略保持一致可能是一項挑戰。有許多動輒得咎的設置調整以確保安全性,你可能想知道自己是否已盡力來減少資安暴露。為了能協助你,我們推出Policy Intelligence,其最初可用於Cloud IAM,現今提供三種新工具來幫助你理解和管理策略並降低風險:

  • IAM Recommender協助管理員透過機器學習以提出smart access控制建議,刪除對GCP資源不必要的訪問。
  • Access Troubleshooter讓安全管理員能夠理解請求被拒絕的原因,並幫助修改策略以授予適當的訪問權限。
  • Validator允許管理員設置管理和安全防護,以防止其授權過度寬鬆的訪問權限。

確保用戶網路安全的新服務

為了保護您的業務,您需要保護您的用戶。上個月我們在RSA大會上宣布了Web Risk API的測試版,現在我們很高興推出兩個全新的Google Cloud用戶保護服務:

  • 網絡釣魚防護:那些會使用您的姓名和個人標誌等的釣魚網站會使您的用戶面臨風險並損害您的業務。借助網路釣魚防護服務,您可以快速向Google Safe Browsing 回報不安全的網址,並在Cloud SCC中查看狀態。將網址填寫於安全瀏覽列表後,超過30億台設備的用戶會收到警告在點擊受感染的連結前。
  • •reCAPTCHA Enterprise(驗證碼系統):安全團隊需要將不良行為者排除於其網站之外,並確保客戶可以隨時拜訪。ReCAPTCHA已為數百萬個網站提供了近十年的保護,新的reCAPTCHA Enterprise服務建立於這項技術的基礎上,專門設計以解決企業安全需求。可以保護你的網站免於遭受詐騙行為,如網路爬蟲、帳密填充(Credential Stuffing)和自動創建帳戶,並協助防止高昂損失的自動化軟體攻擊。

創建安全的環境並使其保持這種狀態 – 對於使用雲端的組織而言,是首要工作。在Google Cloud,我們致力於確保進階的安全功能實踐,使其成為企業藉由改善管理,實現更高靈活性。拜訪Google Cloud Security,全面了解Google Cloud基礎架構,產品以及透明度和信任策略。

About CloudMile

成立於2017年,專精於人工智慧技術,利用機器學習及大數據分析,協助企業進行商業預測與產業升級,並提供雲端管理應用諮詢與解決方案,是亞洲人工智慧服務與雲端供應商。

Website: https://www.mile.cloud/
Facebook: https://www.facebook.com/CloudMileFans/
Linkedin: https://www.linkedin.com/company/cloudmile/
Youtube: https://www.youtube.com/c/CloudMile
Contact Us: [email protected]