從抗D、密鑰到調查審計 谷歌發布多款最新云安全工具
責編:gltian |2018-08-01 14:27:537月25日,谷歌發布一系列云安全工具,幫助客戶安全訪問資源,并為數據及應用提供更好的防護。
為改善安全和交付對用戶設備上商業應用的靈活訪問,谷歌將BeyondCorp中的元素引入谷歌云,推出了上下文敏感的訪問。
公司企業可以用基于上下文敏感的訪問方法(即基于用戶的身份、位置和所請求上下文信息,定義并實施對谷歌云平臺(GCP) API、資源、G Suite 和第三方SaaS應用的細粒度訪問)來提升安全狀態,減少用戶操作復雜性,令用戶得以在任意地點用任何設備登錄。
新功能目前對少數虛擬私有云服務控制( VPC Service Controls )客戶開放,使用云身份及訪問管理( Cloud IAM)、云身份識別代理( Cloud IAP)和云身份( Cloud Identity )的客戶應能很快加入使用者行列。
為更好地抵御憑證盜竊,谷歌發布了Titan Security Key (泰坦安全密鑰)——一款引入了谷歌開發的固件以驗證其完整性的FIDO安全密鑰。該安全密鑰旨在保護用戶不受憑證盜竊的潛在破壞性影響,目前谷歌云客戶可用,一段時間后入駐谷歌商店。
同樣是在7月25日,谷歌推出Shielded VMs (安全虛擬機),用以確保虛擬機不會被篡改,供用戶監視虛擬機狀態基線或其當前運行時狀態中的任何修改并及時作出反應。Shielded VMs 在網站上的部署非常簡單。
谷歌表示,執行容器化工作負載的公司企業應確保谷歌Kubernetes引擎上僅部署了可信容器。為此,谷歌發布了Binary Authorization (二元授權),用以在部署容器鏡像時驗證簽名有效性。
該工具即將進化到貝塔版,可與現有持續集成/持續交付(CI/CD)渠道融合,保證容器鏡像在部署前得到恰當的構建與測試;還可與容器注冊漏洞掃描結合,于實際部署前檢測出Ubuntu、Debian和Alpine鏡像中的脆弱包。
谷歌Cloud Armor DDoS及應用防御服務也發布了貝塔版——基于地理位置的訪問控制功能。該新功能可讓公司企業基于客戶端的地理位置來控制對其服務的訪問。
Cloud Armor 還可用于設置IP白名單封鎖惡意流量,為SQL注入和跨站腳本攻擊部署預設防范規則,根據用戶自選的第3層至第7層參數實施流量控制。
Cloud HSM是托管云硬件安全模塊服務,即將發展到beta版,可供客戶托管密鑰,以及在經 FIPS 140-2 3級安全標準認證的硬件安全模塊(HSM)上執行加密操作,無需管理HSM集群即可輕松防護敏感工作負載。
Cloud HSM 與云密鑰管理服務(KMS)緊密集成的特性,讓用戶可以很方便地創建和使用由硬件產生并保護的密鑰,還能與客戶管理的加密密鑰(CMEK)集成服務配合使用,例如BigQuery、谷歌計算引擎、谷歌云存儲和DataProc。
今年早些時候,谷歌發布了Asylo開源框架兼軟件開發包(SDK),意在保護機密計算環境中數據和應用的機密性與完整性。
谷歌Access Transparency (訪問透明)可以記錄正在訪問云端數據和應用的谷歌云平臺(GCP)管理員。雖然云提供商的支持團隊或工程團隊介入時GCP的云審計日志不再提供管理員活動可見性,但 Access Transparency 會捕捉這些團隊手動針對性訪問的近實時日志。
谷歌還為 G Suite 客戶推出了調查工具,輔助識別域內安全問題并加以響應。管理員可用該工具執行公司范圍內跨多數據源的搜索,查看有哪些文件被共享到了外部,然后批量進行文件訪問顯示操作。
G Suite 報告和審計數據如今也能更方便地從管理員控制面板導出到谷歌BigQuery中了。而且,云安全指揮中心也新增了5個容器安全合作伙伴工具,可幫助用戶更好地獲悉谷歌Kubernetes引擎中運行容器的風險。
為達到客戶感知自身數據所處位置的要求,谷歌發布了G Suite 數據區域。這是一款幫助 G Suite 商業及企業客戶指定某些 G Suite 應用主要數據閑時存儲區域的工具,存儲范圍或在美國,或在歐洲。
除此之外,谷歌還為Chrome瀏覽器添加了口令警報策略,令IT管理員可以防止公司雇員在公司管控范圍之外的站點上重用公司口令,輔助抵御賬戶盜用攻擊。