谷歌云平臺上運行的企業應用保護新工具，令亞馬遜AWS和微軟Azure黯然失色。

谷歌清楚：如果要企業將重要服務遷移到其云端，它就得提供AWS不具備的一些東西。在前不久舉行的谷歌 Cloud Next 大會上，公司高層宣稱谷歌云才是最安全的云。

大會上，谷歌揭開了其云端新工具的面紗。這些工具可讓IT團隊提供細粒度的應用訪問，更好的密鑰管理，以及更強大的云應用身份驗證機制。雖然其中一些功能，比如密鑰管理服務，與AWS已經實現的類似。而其他的，比如谷歌云平臺(GCP)、DLP API 等，就不局限于基礎設施而邁向單個應用防護了。

谷歌顯然將安全作為了其在云基礎設施提供商之間越眾而出的倚仗。不僅僅是底層硬件和虛擬機，這些基礎設施上運行的應用，也被納入了保護范圍之列。

保護敏感數據

DLP API 目前還是Beta版，可使IT團隊識別并刪除GCP應用中的敏感信息。DLP技術執行深度內容分析，對列表中超過40種敏感數據進行匹配，比如信用卡和賬戶數字，或者聯系人信息，并讓管理員來決定這些信息的防護程度。新安全功能發布頁面上的截圖，顯示了 DLP API 刪除文檔中信息的景象，諸如人名、郵箱地址、手機號、身份證號、信用卡號什么的。

管理員可指定每種數據類型應用的防護級別。利用OCR(光學字符識別)技術，管理員還可以管理圖像和文本中存儲的內容。

讓谷歌越眾而出的關鍵因素，是 GCP 所用 DLP API，乃是2015年發布的 Gmail DLP 和 今年1月發布的 Drive DLP 的擴展。這3個工具的組合，賦予了IT管理員編寫一次策略，便可在所有平臺統一管理敏感數據的能力：云基礎設施上運行的應用，Gmail中存儲的消息，Drive上存放的文檔。

谷歌為企業提供保護云應用中數據的安全工具。而亞馬遜，雖然也投入了數據防護，卻集中在服務器和塊存儲層次。

控制應用訪問

目前，IT團隊對應用的訪問控制主要依靠VPN，但這種方式要么不出事，一出事就是全盤皆輸。持有效憑證的用戶可訪問全部應用，一個用戶憑證被黑，所有應用安全不保。更細粒度的訪問控制一直以來都是個挑戰。而雇員總在非受信網絡上來去和工作，也讓VPN成為了低效的訪問控制管理方法。

這就是身份敏感代理(IAP)的切入點，雖然也處于Beta版階段，卻能讓IT團隊從VPN模式，切換到可對單個應用評估風險的方式。管理員指定每組用戶對每個應用的權限，只有經授權并通過身份驗證的用戶，才能訪問谷歌云上受IAP保護的應用。

IAP是BeyondCorp框架的一個元素，該框架是谷歌內部開發出來的企業安全模型，可使谷歌員工從非受信網絡登錄工作而無需擔心VPN問題。用戶通過網頁瀏覽器訪問IAP保護的應用，由IAP負責處理身份驗證過程。

谷歌選擇了與亞馬遜及其AWS身份訪問管理(IAM)服務不同的方向，來解決身份驗證問題。AWS IAM 讓管理員控制對AWS服務API和特定資源的訪問，并對用戶訪問AWS的方式添加具體控制。亞馬遜還讓IT通過AWS活動目錄，來管理用戶和組。谷歌的方法，則更側重應用端。

在云端強制雙因子身份驗證

現在GCP和 G Suite 上基本都有的強制安全密鑰(SKE)，使IT團隊可要求所有用戶都開啟安全密鑰作為兩步驗證因子之一，無論他們是登錄 G Suite，還是訪問谷歌云平臺資源。

此前，用戶可以自行決定是否采用硬件密鑰(比如Yubikey)作為兩步驗證的一部分。有了 GCP SKE，如今，IT管理員便可強制要求使用硬件密鑰了，也就給云工作負載再添了一層安全身份驗證。IAP可與安全密鑰集成，遏阻網絡釣魚。

改善云環境

Cloud Next 大會上的產品發布聽起來是不是頗為熟悉？那是因為谷歌在今年早些時候就往 G Suite 里加入了這些企業級工具。DLP和SKE被加入 G Suite 的事實，再次重申了谷歌的云安全策略。很多情況下，谷歌本身就是谷歌云的客戶：為 G Suite 和Gmail推出安全工具，然后在GCP上對公司企業開放使用。

云安全是共享責任，提供商專注數據中心物理安全和硬件防護,企業負責應用和數據。通過提供云端應用和數據的防護工具，谷歌改變了此一格局。

“為什么我要將最重要的應用交托給你？”——對有此疑問的企業而言，這些工具或許就是答案。