谷歌在此次会议上发布了一些工具,可以让IT团队提供对应用程序的精细访问,更好地管理加密密钥,并对在谷歌云上运行的应用程序实施更强大的身份验证机制。虽然谷歌正在使用谷歌云平台(GCP)的密钥管理系统来赶超亚马逊公司,但它通过向管理员提供超出基础架构的工具来保护单个应用程序,从而通过数据泄露防护API进入未知领域。谷歌正在处理与亚马逊不同身份访问的管理挑战,企业应该决定自己喜欢哪种方法。
谷歌显然正在将安全视为与其他云基础架构提供商区分开来的方式。它不仅仅保护底层硬件和虚拟机;它也将保护在它们上运行的应用程序。
保护无处不在的敏感数据
现在处于测试阶段的数据泄露防护(DLP)应用程序编程接口(API)将让IT团队识别和修改可能在谷歌云平台上运行的应用程序中的任何敏感信息。DLP技术执行深层内容分析,以便根据40多种敏感数据类型(如信用卡和帐号或联系信息)列表查找匹配项,并让管理员决定如何最好地保护该信息。谷歌在宣布新的安全功能的博客帖子中的屏幕截图显示了DLP API如何编辑文档中的信息,例如个人姓名,电子邮件地址,手机号码,社交安全和信用卡号。
管理人员可以决定适用于每种数据类型的保护级别。使用光学字符识别(OCR)技术,管理人员还可以管理存储在图像和文本中的内容。
谷歌的关键区别是,DLP API for GCP是DLP(最初于2015年推出)和DLP for Drive(在2017年1月份发布)的扩展。这三种工具的组合使IT管理员能够编写可以跨所有平台持续管理敏感数据的策略:云计算基础架构上运行的应用程序,存储在Gmail中的消息和存储在云端硬盘中的文档。
谷歌正在为企业提供安全工具,以保护其云中运行的应用程序的数据。亚马逊公司虽然在数据保护方面有所投入,但一直专注于服务器和块存储级别。
控制访问应用程序的人员
如果现在依靠VPN (虚拟专用网络)控制IT团队对应用程序的访问,这通常是一种极端的方法。拥有有效VPN凭证的用户可以访问所有应用程序。应用更细粒度的访问控制一直是一个挑战,当员工总是在不受信任的网络上移动和工作时,采用VPN将成为一种管理访问的低效方法。
谷歌发布了身份感知代理(IAP)测试版,因为它使IT团队从VPN模式转变为评估每个应用程序的风险。管理员指定哪些身份组可以访问哪个应用程序,因此只有经过授权和身份验证的用户才能访问在谷歌云上运行的受IAP保护的应用程序。
IAP是BeyondCorp框架的一个元素,它是谷歌内部开发的企业安全模型,让员工在不受信任的网络工作,而不用担心VPN。用户将其Web浏览器指向可访问互联网的URL以访问受IAP保护的应用程序,IAP处理身份验证过程来验证身份。
谷歌与亚马逊的AWS身份和访问管理服务处理身份问题的方向不同。尽管AWS IAM允许管理员控制对AWS服务API和特定资源的访问,并允许IT部门通过AWS Active Directory(活动目录)管理用户和组,但它不像谷歌公司计划使用IAP那样为各个应用程序提供相同级别的保护。谷歌与SKE提供的产品与亚马逊已经提供的AWS IAM帐户访问元素和Cognito应用程序集成功能之间有一些重叠。
BArmor公司高级云架构师laine Fleming表示,“在这一组公告中,谷歌云平台正在确保组织中的个人使用云服务的过程中,AWS与公告中的单个项目有一些重叠,但是他们的目标却并不相同。”
云中的强制双因素身份验证
谷歌云平台(GCP)和G Suite的SKE(安全密钥强制)现在普遍可用,它允许IT团队在当登录G Suite或访问谷歌云平台资源时,都要求所有用户打开安全密钥作为两步验证的因子。
直到最近,用户可以决定在个人层面是否使用硬件密钥(例如Yubikey)作为两步验证的一部分。使用SKE for GCP,IT管理员现在可以强制用户执行,从而为云工作负载添加安全的身份验证层。
此外,IAP可以与安全密钥集成,以防止网络钓鱼。
优化云投资
如果Google Cloud Next会议的这些公告听起来很熟悉,那是因为谷歌公司今年早些时候在G Suite上添加了这些企业级工具。事实上,DLP和SKE在1月份都添加到了G Suite中,这再次证实了谷歌公司的云安全战略。在许多情况下,谷歌公司自己就是谷歌云平台的客户:它为G Suite和Gmail推出安全工具,然后将其提供给谷歌云平台上的企业使用。
云计算安全是行业厂商的一个共同责任,供应商关注数据中心的物理安全性,保护硬件以及负责应用和数据的企业。谷歌公司通过提供安全访问,加密内容,以及防止云中敏感数据泄漏的工具来转换对话。对于那些想知道“我们最重要的应用程序运行在你的平台上,我们如何信任你?”的企业来说,这些工具可能就是答案。
京公网安备 11010502049343号