谷歌在此次會議上發布了一些工具,可以讓IT團隊提供對應用程序的精細訪問,更好地管理加密密鑰,并對在谷歌云上運行的應用程序實施更強大的身份驗證機制。雖然谷歌正在使用谷歌云平臺(GCP)的密鑰管理系統來趕超亞馬遜公司,但它通過向管理員提供超出基礎架構的工具來保護單個應用程序,從而通過數據泄露防護API進入未知領域。谷歌正在處理與亞馬遜不同身份訪問的管理挑戰,企業應該決定自己喜歡哪種方法。
谷歌顯然正在將安全視為與其他云基礎架構提供商區分開來的方式。它不僅僅保護底層硬件和虛擬機;它也將保護在它們上運行的應用程序。
保護無處不在的敏感數據
現在處于測試階段的數據泄露防護(DLP)應用程序編程接口(API)將讓IT團隊識別和修改可能在谷歌云平臺上運行的應用程序中的任何敏感信息。DLP技術執行深層內容分析,以便根據40多種敏感數據類型(如信用卡和帳號或聯系信息)列表查找匹配項,并讓管理員決定如何最好地保護該信息。谷歌在宣布新的安全功能的博客帖子中的屏幕截圖顯示了DLP API如何編輯文檔中的信息,例如個人姓名,電子郵件地址,手機號碼,社交安全和信用卡號。
管理人員可以決定適用于每種數據類型的保護級別。使用光學字符識別(OCR)技術,管理人員還可以管理存儲在圖像和文本中的內容。
谷歌的關鍵區別是,DLP API for GCP是DLP(最初于2015年推出)和DLP for Drive(在2017年1月份發布)的擴展。這三種工具的組合使IT管理員能夠編寫可以跨所有平臺持續管理敏感數據的策略:云計算基礎架構上運行的應用程序,存儲在Gmail中的消息和存儲在云端硬盤中的文檔。
谷歌正在為企業提供安全工具,以保護其云中運行的應用程序的數據。亞馬遜公司雖然在數據保護方面有所投入,但一直專注于服務器和塊存儲級別。
控制訪問應用程序的人員
如果現在依靠VPN (虛擬專用網絡)控制IT團隊對應用程序的訪問,這通常是一種極端的方法。擁有有效VPN憑證的用戶可以訪問所有應用程序。應用更細粒度的訪問控制一直是一個挑戰,當員工總是在不受信任的網絡上移動和工作時,采用VPN將成為一種管理訪問的低效方法。
谷歌發布了身份感知代理(IAP)測試版,因為它使IT團隊從VPN模式轉變為評估每個應用程序的風險。管理員指定哪些身份組可以訪問哪個應用程序,因此只有經過授權和身份驗證的用戶才能訪問在谷歌云上運行的受IAP保護的應用程序。
IAP是BeyondCorp框架的一個元素,它是谷歌內部開發的企業安全模型,讓員工在不受信任的網絡工作,而不用擔心VPN。用戶將其Web瀏覽器指向可訪問互聯網的URL以訪問受IAP保護的應用程序,IAP處理身份驗證過程來驗證身份。
谷歌與亞馬遜的AWS身份和訪問管理服務處理身份問題的方向不同。盡管AWS IAM允許管理員控制對AWS服務API和特定資源的訪問,并允許IT部門通過AWS Active Directory(活動目錄)管理用戶和組,但它不像谷歌公司計劃使用IAP那樣為各個應用程序提供相同級別的保護。谷歌與SKE提供的產品與亞馬遜已經提供的AWS IAM帳戶訪問元素和Cognito應用程序集成功能之間有一些重疊。
BArmor公司高級云架構師laine Fleming表示,“在這一組公告中,谷歌云平臺正在確保組織中的個人使用云服務的過程中,AWS與公告中的單個項目有一些重疊,但是他們的目標卻并不相同。”
云中的強制雙因素身份驗證
谷歌云平臺(GCP)和G Suite的SKE(安全密鑰強制)現在普遍可用,它允許IT團隊在當登錄G Suite或訪問谷歌云平臺資源時,都要求所有用戶打開安全密鑰作為兩步驗證的因子。
直到最近,用戶可以決定在個人層面是否使用硬件密鑰(例如Yubikey)作為兩步驗證的一部分。使用SKE for GCP,IT管理員現在可以強制用戶執行,從而為云工作負載添加安全的身份驗證層。
此外,IAP可以與安全密鑰集成,以防止網絡釣魚。
優化云投資
如果Google Cloud Next會議的這些公告聽起來很熟悉,那是因為谷歌公司今年早些時候在G Suite上添加了這些企業級工具。事實上,DLP和SKE在1月份都添加到了G Suite中,這再次證實了谷歌公司的云安全戰略。在許多情況下,谷歌公司自己就是谷歌云平臺的客戶:它為G Suite和Gmail推出安全工具,然后將其提供給谷歌云平臺上的企業使用。
云計算安全是行業廠商的一個共同責任,供應商關注數據中心的物理安全性,保護硬件以及負責應用和數據的企業。谷歌公司通過提供安全訪問,加密內容,以及防止云中敏感數據泄漏的工具來轉換對話。對于那些想知道“我們最重要的應用程序運行在你的平臺上,我們如何信任你?”的企業來說,這些工具可能就是答案。
京公網安備 11010502049343號