=Start=
缘由:
取法乎上得其中,将学习目标定为顶级,才有机会成为一流。这里摘录一下Google整理的一些安全场景和他提供的解决方案,方便有需要的时候进行参考和进一步学习。
正文:
参考解答:
保护 + 控制 + 合规
办公网(保证业务连续性,避免、减缓由垃圾邮件、恶意邮件、恶意软件和诈骗网站带来的风险):
Chrome操作系统 – 保护桌面系统的安全
Chrome浏览器(沙盒+安全浏览策略) – 可以作为前置堡垒将诈骗网站和恶意软件阻挡在外
双因素认证和安全密钥 – 保护用户账户安全
Gmail – 过滤垃圾邮件和恶意邮件
Google Drive云盘 – 文件备份,避免极端情况下文件丢失的问题
生产网(保证业务连续性,安全漏洞的检测、安全监控和审计、防数据泄露):
防DDOS:
Cloud LB – 负载均衡
Cloud CDN – 内容分发
快速扩容能力 – 自动扩缩容
集成第三方的DDOS和WAF产品/解决方案 – 按需选取和使用
防网站安全漏洞:
Cloud Security Scanner – 发布前扫描,线上定期扫描和报告
Cloud Armor – 云WAF
防数据泄露:
VPC Service Controls – 网络隔离
Cloud DLP API – 发现敏感数据,从而有助于进一步的信息分类和分级
安全监控和审计:
Cloud Security Command Center – 应该是实现的SOC+SOAR的功能
Cloud IAM – 用户账号、设备的管理,加上资源访问权限的控制和管理
Cloud Audit Logs – 日志记录的查看,了解“哪些用户何时在何处执行了什么操作”
保护
网上诱骗
网上诱骗是指诈骗者从伪造的地址发送电子邮件,企图通过这种手段获取敏感信息。
Gmail 电子邮件过滤
能够过滤掉 99.9% 的垃圾邮件和恶意电子邮件,使此类邮件永远无法进入员工的收件箱。
两步验证 (2SV) 和安全密钥
采用两步验证方法后,即使员工的安全凭据被盗,黑客也会因没有实体安全密钥而无法访问帐号。
安全浏览
Chrome 浏览器会显示警告,以阻止员工访问涉嫌存在网上诱骗行为或托管恶意软件的网站。
Cloud Identity-Aware Proxy (Cloud IAP)
利用基于身份的精细化控制机制,限制攻击者访问应用的能力。
勒索软件
勒索软件是指对用户计算机上的数据进行加密的恶意软件。犯罪分子要求付款才会解密并放出数据。
安全浏览
Chrome 浏览器会显示警告,以阻止员工访问涉嫌托管恶意软件的网站。
Google 云端硬盘
虚拟云端硬盘是 Google 云端硬盘的桌面客户端,该工具可备份本地文件,从而能够让任何感染了病毒的文件轻松恢复到“干净”版本。
沙盒
Chrome 浏览器可将威胁隔离到一个标签页内,以防止勒索软件等恶意软件在用户的整个系统上扩散。
安全合作伙伴
Google 通过与 CrowdStrike 和 TrendMicro 等端点保护领域的一流企业合作来提供额外的保护层。
Chrome 操作系统
每次重新启动时,Chrome 的验证启动功能都会确保操作系统未遭到入侵。如果检测到恶意软件,操作系统会还原为最近的版本。
拒绝服务攻击
拒绝服务 (DoS) 攻击是一种试图使您的服务或应用不可用的攻击行为。例如,通过海量的流量让您的应用崩溃。
Cloud Load Balancing
Google Cloud Platform 可靠的全球基础架构可减轻 DDoS 攻击(例如 SYN 洪水、IP 碎片洪水和端口耗尽)对基础架构的影响。
Cloud CDN
如果可缓存内容遭遇 DDoS 攻击,系统会将请求发送到全球各地的不同接入点 (POP),以帮助消减攻击。
Cloud Armor
借助 IP 黑名单和白名单、基于地理位置的访问权限控制功能、SQL 注入攻击与 XSS 攻击防御机制以及自定义规则,来防御各种规模的应用感知攻击和多矢量攻击。
通过扩容来消减攻击
多区域应用实例通过扩大受攻击面来消减攻击。自动扩缩功能有助于顺利应对流量高峰。
第三方 DDoS 攻击防御和 WAF 解决方案
将 GCP Marketplace 上提供的合作伙伴解决方案无缝集成到部署中,以获享专业保护。
控制
数据渗漏
数据渗漏是指外部攻击者或恶意内部人员在未经授权的情况下从您的组织转移敏感信息。
Cloud Data Loss Prevention (DLP) API
Cloud DLP 可发现您组织中的敏感数据(例如财务记录和个人身份信息 (PII)),还可以对其进行分类和保护。
VPC Service Controls
借助精细的网络政策,将 GCP 资源相互隔离。
Cloud Identity & Access Management (IAM)
控制哪些用户可以访问数据和资源。
Forseti Security + Cloud Security Command Center
Forseti 会扫描 GCP 资源,以确保适当的访问权限控制措施落实到位。Cloud Security Command Center 会集中提供安全性事件报告,从而帮助您发现您的数据和应用所面临的潜在威胁。
随时随地智能访问
情境感知访问权限机制会综合考虑用户信息与数据敏感度信息,以做出智能的访问权限控制决策。
Cloud Identity
管理用户帐号、对用户进行身份验证、实现单点登录,并管理设备。
Cloud Identity-Aware Proxy (Cloud IAP)
根据用户身份和情境属性(如位置、网络和设备状态),控制对应用和资源的访问。
Access Context Manager
根据用户位置、IP 地址和端点安全状态等属性,创建精细的访问权限控制政策。
安全监控
组织需要了解漏洞、威胁和突发事件状况,以便评估风险并按轻重缓急的顺序采取相关纠正措施。
Cloud Security Command Center
在一个信息中心内收集、整合、分析统一的安全信息(例如扫描结果、通知和第三方信息流)并采取行动。与 Cavirin、Cloudflare 和 Redlock 等公司提供的一流第三方解决方案进行集成,以强化安全评估和检测。
Cloud Security Scanner
在部署阶段之前的开发阶段,查找 Web 应用中的安全漏洞。
G Suite 安全中心
监控您的 G Suite 网域是否存在安全威胁。 查看安全性分析信息,根据推荐的最佳做法采取行动。
Cloud Audit Logs
查看审核事件的不可变跟踪记录,了解“哪些用户何时在何处执行了什么操作”。
合规
独立验证
Google 会定期对他们的安全、隐私与合规控制措施进行审核。
参考链接:
Google安全场景和解决方案
https://cloud.google.com/security/solutions
=END=
《 “[collect]Google的安全场景和解决方案” 》 有 5 条评论
信息安全的投资结构
https://blog.51cto.com/yepeng/1422390
安全管理平台不等于SOC!
https://blog.51cto.com/yepeng/804012
基于大数据分析的安全管理平台技术研究及应用【摘录】
https://blog.51cto.com/yepeng/1351676
适用于 Borg 的 Binary Authorization:Google 如何验证代码出处并实施代码身份
https://cloud.google.com/security/binary-authorization-for-borg
`
在此白皮书中,我们介绍了 Google 的代码审核流程、代码出处,以及强制执行机制的必要性。我们专注于开发特定的强制执行检查 – 适用于 Borg 的 Binary Authorization (BAB)。BAB 的目标是通过确保对 Google 平台上部署的正式版软件进行适当审核和授权来降低内部风险,尤其是在代码能够访问用户数据时。对于所有 Google 产品,我们重视对用户数据的保护,并力求让我们所采取的安全措施尽可能透明化。
# 面向首席信息官级别领导者的摘要
* 内部风险是对用户数据安全的威胁。在 Google,我们希望尽可能降低 Google 员工以未经授权的方式(其中包括运行未经授权的作业)使用其组织知识或访问用户数据的可能性。
* 适用于 Borg 的 Binary Authorization (BAB) 是一项内部部署时强制执行检查,它通过确保对 Google 平台上部署的正式版软件和配置进行适当审核和授权来最大限度地降低内部风险,尤其是在代码能够访问用户数据时。
* BAB 可确保代码和配置部署满足特定的最低标准。
* 除了强制执行外,BAB 还可用于非强制性审核模式,以便在不满足某些要求时发出警告。
* 采用 BAB 有助于 Google 降低内部风险、防止潜在的攻击,以及支持 Google 生产系统的统一性。
`
Google的Chrome企业版浏览器添加了DLP和一些扩展的安全保护功能
Secure Enterprise Browsing: Chrome adds enhanced DLP and extension protections
https://cloud.google.com/blog/products/chrome-enterprise/secure-enterprise-browsing-more-data-protections-visibility-and-insights/
`
The web browser is the backbone of modern work. As for my own work, I heavily depend on it. It grants me access to SaaS apps, internal websites, conference calls, and a vast web of information. Perhaps unsurprisingly, the browser has also become an increasingly popular target for external threats and data theft. As a result, we expect our IT and security teams to consider the browser a strategic asset for maintaining a secure and productive enterprise environment.
Web 浏览器是现代工作的支柱。至于我自己的工作,我非常依赖它。它允许我访问 SaaS 应用程序、内部网站、电话会议和网络中的大量信息。或许不足为奇的是,浏览器也越来越成为外部威胁和数据窃取的热门目标。因此,我们希望我们的 IT 和安全团队将浏览器视为维护安全和高效企业环境的战略资产。
用Chrome企业版浏览器进行安全的浏览——更多的数据保护、可见性和洞察力
新功能增强:
数据防泄漏DLP
浏览器扩展的安全和管理
安全报告和洞察
自定义的策略管理功能
防护恶意软件和钓鱼
随时启用零信任
我们很高兴通过BeyondCorp Enterprise为我们现有的 DLP 保护添加三个新功能:
1. 上下文感知DLP允许您根据所用设备的安全状况自定义DLP规则。例如,如果用户从已安装最新安全修复程序的公司设备访问敏感文档,或者已确认安装了端点保护软件,您可以允许他们下载敏感文档,但如果他们是,则阻止他们这样做使用他们自己的个人设备或不符合标准的公司设备。
2. URL过滤使您能够阻止或警告您的员工访问违反组织可接受使用策略的网站或网站类别。您还可以限制访问,例如阻止用户访问流行的文件共享网站,同时仍允许通过您的公司文件共享站点共享文件。
3. 用于打印的DLP使您能够阻止用户打印包含机密数据的文件。例如,您可以在员工打印包含超过 10 个社会安全号码的文件之前警告并阻止他们。
`
https://cloud.google.com/blog/products/chrome-enterprise/how-chrome-supports-todays-workforce-secure-enterprise-browsing
https://chromeenterprise.google/browser/security/
企业数据安全场景系列:远程桌面共享,以我之名,行不义之事
https://mp.weixin.qq.com/s/CbiXWdV6dEDvP–2rdNlag
`
网络钓鱼 -> 诱导下载 -> 远程控制 -> 窃取账户 -> 转移钱财
道高一尺,魔高一丈,道和魔无止尽的对抗,此消彼长,一个魔鬼用远程控制软件来偷盗别人的财产,另一个魔鬼在用远程控制软件出卖自家数据。
—
01—严防死守,数据还是出去了
1、电商平台刚做的促销方案,友商比自己还先对市场宣布,内容如出一辙。
2、游戏设计的游戏素材,很快就在论坛里流传出谍照。
3、新能源汽车新款车机样片,总是先于发布会出现在热搜榜。
4、催收公司贷后管理系统,严防死守,还是没挡住层层转包。
5、为什么媒体和咨询公司,就像住在公司内部一样,如此了解企业所有信息。
为什么企业总是不停面对这样尴尬的数据泄露局面,不仅毫无办法也毫无线索。终端 DLP 的日志查了,关键系统的用户登录 IP 也看了,EDR 的日志也看了,防火墙、上网行为管理、云桌面,统统正常,到底哪个环节出问题了?
很少有人怀疑过安坐在电脑桌面上的远程协助工具,以及那么多可以共享电脑桌面出去的会议软件,这些为灵活办公助力的极大功臣,也在被大量的内部人员用以出卖企业内部信息,这些工具本身是无罪的,但确实成为了一把双刃剑,一面是降本增效的办公利器,一面是划开了网络安全盾牌的侩子手。
传统所有的办公安全软件和技术,几乎都被远程协助类工具送入了坟墓,甭管你是 DLP、虚拟桌面、透明加解密、堡垒机、EDR、上网行为管理,对此如同虚设。
02—转移合法权限,主动泄密
在网络入侵和攻防的场景里,非正义一方在有能力能够实施系统破坏和盗取数据之前,最先要解决的即是系统权限的获取问题。无论是利用系统漏洞、还是社工钓鱼,目的都是要获得进入系统或设备的正当名份。
不同的是,在企业内部泄密的场景里,这个名份是由内部人员主动赠予给对方的。赠予的方式,没有人会傻到将家里的钥匙(公司域账号、VPN 账号、应用系统账号、Wifi 账号等等)直接给对方。
但是,通过会议软件、远程协助工具等的桌面共享能力,以开会和工作之名,将系统和特定文档的使用权限进行转移,第三方即可大方行使偷窥之权利。
应用场景有很多,常见的是商业间谍、员工违规接受第三方咨询、委外催收团队出售金融结构借贷管理系统用户数据、猎头公司收集甲方组织架构信息。
03—事后追溯手段
共享桌面泄密的方式,目前几乎无法被主动发现,原因是这样的行为不符合 DLP 的检测机制,没有文档的外发和操作行为,不会被记录事件;网络测也无法被防火墙或者上网行为管理软件识别,它们能看到的都是正常的网络流量,流量内的真实数据也无法解析。
因此,倘若东窗事发,有外部情报或者他人揭发当事人,往往只能通过查询 EDR 或者桌管软件记录下来的,桌面共享软件运行日志。但效果非常有限,因为如果是使用专门的共享软件,如向日葵、ToDesk、Splashtop 等,还可与当事人一辩。而如果是使用钉钉、企微、飞书等正常的办公软件客户端自带的共享和会议功能,那就说不清了。
04—事前防护,最有效的是水印
最为有效,成本又最低的防护手段,是【数字水印】,肉眼可见的水印,越是明显越好。带有正常用户身份信息的水印,如工号、姓名等,能极大震慑和打消其把桌面共享给第三方的念头。除非对方是自己极为信任之人,比如自己共享给另一个自己。
05-事前防护,最彻底的是沙箱
无论是常见的终端沙箱,还是新型的浏览器隔离沙箱,进行了一种新的尝试。本质逻辑都一样,将办公应用和数据封闭在一个特殊的数字环境内(即所谓的沙箱环境),再通过这一特殊环境,从系统底层来双向控制屏幕共享的能力。
1、终端沙箱隔离环境:在终端设备上,沙箱会创建一个独立的、受限的运行环境(比如使用虚拟机或者基于容器的轻量级虚拟化技术,或者基于注册表和文件 IO 重定向技术而构建的一个受控环境),**将办公类的系统和文档放置于沙箱之内,使得运行在沙箱外的应用程序不能直接访问沙箱内的数据或资源**,包括**沙箱内应用界面信息**。
2、浏览器渲染隔离沙箱:浏览器的核心安全机制之一,是将渲染进程置于浏览器沙箱之中,和终端沙箱不一样,这是浏览器内核针对不同网站之间去做安全隔离的技术机制,这种沙箱环境严格限制了渲染进程对系统资源的访问,包括截取屏幕内容的能力。**这意味着渲染进程在没有浏览器核心进程明确授权的情况下,无法直接共享桌面内容**。
无论哪一种方式,本质都是把自己变成了应用和数据的载体,再控制桌面共享软件对自己的操作行为,从而实现办公应用和数据的对外共享控制,交互效果各有不同,我们数影实现的是 应用隐身。
上面展示的效果,读者不一定能很好感受到其梦幻的效果,在当事人看来,整个过程其实没有任何异常,视频里只是录屏软件和截屏软件它们感受到的,是它俩压根意识不到受保护业务系统的存在,在数字的世界里被隐藏了,而在人类的视角,什么都没有发生,我知道说起来有点绕,你得实际用用才能搞清楚。
当然了,既然是浏览器方向,其作用仅限于针对 Web 化的应用进行防护,而无法保护桌面客户端类的应用,这是它天然的局限。
常见的企业安全浏览器厂商,有老牌的 360 和师出同门的奇安信,主要专注的是政府类客户,在防攻击、泛病毒和 IE 兼容上做得很深入。另外就是面向科技互联网类民营企业的厂商,杭州的数影星球,更加专注在数据安全的能力打造上。
06-数据安全,从无数离散的场景里抽象通用的办法
**数据安全场景很多,很离散**,Yes I Know。很多场景掰开了讲,甚至都上不了台面,**太琐碎、太细节、格局太小,但这就是数据安全治理的常态和本质**。
CISO 们可以选择永远都在做基建,今年上了 VPN 过两年上零信任;今年用国外的,过两年再国产化替代一下;今年装 3 个客户端,过两年整合成一个;来年换个甲方企业,再重复一次,眨眼间几十年过去了,回头看看我们是不是还在原地踏步。
**勿以善小而不为,勿以场景小而放任**,是我个人对数据安全从业者最基本认可的标准。**当你积累了足够多细微的场景经验和治理方案后,也许你就能找到相对一劳永逸的一个或者有限个办法**。
`
非专业产品经理会如何规划PC沙箱能力
https://mp.weixin.qq.com/s/exOYlwidSiR7QctcJLgP5A
`
当我们看到一个非专业产品经理(售前视角)所撰写的关于产品规划的文章时,也许会心生疑问。但是,请别急着贴上“不务正业”的标签。因为对于一名售前来说,他更接近用户的需求,同时又具备对产品的个人理解。因此,想从自己的视角,一起聊聊设计一款PC沙箱产品的思路或方法论。本次内容分成三个部分:PC沙箱可以给谁用?PC沙箱需要解决哪些场景化问题?PC沙箱需要具备哪些能力?
1、PC沙箱可以给谁用
在企业场景中简单可以概括为办公场景和研发场景,这两大场景基本涵盖了绝大多数的企业成员类型,再稍微细分的办公场景面向行政管理、人力资源、财务、采购、销售等业务部门,这些人员对于终端是轻度用户,以IM、Office全家桶等办公类产品为主,使用诉求重点是简单易用,研发场景面向开发、运维、测试等部门,这些人员对于终端是重度用户,需要使用各类开发IDE软件(IntelliJ IDEA、Gogland IDE、Visual Studio Code等)、代码版本控制工具(SourceTree 、git、TortoiseGit等)、运维工具(Xshell、Navicat等)。
| 场景 | PC依赖程度 | 常用软件 | 诉求 | 管理诉求 |
| 业务人员、行政管理等 | 办公场景 | 轻度 | IM、Office全家桶等办公类产品为主 | 简单易用 | 稳定、数据防泄漏、操作审计、统一管理等 |
| 研发、运维、测试 | 研发场景、办公场景 | 重度 | 各类开发IDE软件、代码版本控制工具、运维工具 | 占用资源小、软件兼容性好 |
这两大类人员涉及到了企业的经营数据、财务数据、组织架构、订单管理、客户管理等数据以及生产工艺、知识产权、核心代码、服务器数据等敏感信息,所以都可以通过PC沙箱的方式来打造新的办公模式。
2、PC沙箱需要解决哪些场景化问题
这里我们关注的是围绕上述两类人员群体的工作场景,重点讨论通用场景,但不同行业、不同客户可能会有所不同。根据设备类型(公司电脑和个人电脑)、接入网络类型(企业网络或非企业网络)可以延伸出四个典型场景:
场景一:公司电脑+企业网络接入
该场景中通常公司电脑已经或多或少有一定安全防护措施,所以对访问办公系统时可以沿用现网的安全措施,如果要访问其他网络的业务系统,则可以通过沙箱访问,比如在办公网接入去访问生产网的系统。
场景二:公司电脑+非企业网络接入
该场景主要在于接入网络不可信,但企业又不想直接暴露自己的业务,需要通过PC沙箱(具备零信任接入能力)来实现公网暴露面的隐藏。
场景三:个人电脑+非企业网络接入
该场景既使用了不受管控的电脑,又通过不受信任的网络接入,那么可以采用访问任何内网业务系统均需要在PC沙箱中访问,不论是办公网系统或是生产网等系统。
场景四:个人电脑+企业网络接入
该场景相对比较少见,目前接触到的PC沙箱的潜在客户群体均不会同意个人电脑在企业网络接入,即使能够接入,也必须符合企业的安全管理要求,所以也鲜有员工会愿意在自带的电脑上装入各种各样管理的工具。
3、PC沙箱需要具备哪些能力
上述的场景只描述了访问侧的情况,缺少了数据的从哪来以及会到哪去的分析,在规划PC沙箱的功能时候主要是管理好两个口,即数据的源头要框起来,数据的出口管起来。
这里的数据到哪去只谈数据从终端层面通过人的行为,其他场景不在这里讨论。
根据这个逻辑,PC沙箱的核心功能设计可以围绕以下要点展开:
应对数据从哪来(数据框起来需要的能力):
1、数据源存储能力
PC沙箱厂家可以在方案中自带网盘或本地NAS等方式来提供数据存储和访问的统一管理。
2、应用发布能力
要支持CS和BS等架构的应用系统的代理发布,实现数据访问入口的统一管理,区分哪些业务需要通过PC沙箱来访问起到数据保护的效果。
3、开放接口
针对在飞书、钉钉、企业微信等办公平台上的网盘,需要能够通过接口来对接第三方平台的数据存储、权限调用等能力,实现与PC沙箱的联动,当然该能力也需要这些平台具有开发接口可以调用。
应对数据到哪去(管好数据出口的能力):
1、PC沙箱与宿主机的隔离能力
核心是PC沙箱与宿主机的隔离能力,包括数据存储、注册表、网络、进程等,构建一个独立的办公空间,这是PC空间的核心能力也是基础能力,做不好隔离,用户一定不会买单。但是有些固件烧录、手机APP开发测试场景需要做一定的放行,比如手机MTP连接传输。
2、多沙箱运行能力
需要能够根据业务类型或部门等角度配置多个沙箱进程,同时同一个角色也会需要不同沙箱的权限,以此来保障对不同业务的访问或同权限、同类型沙箱中的数据共享。
3、宿主机、PC沙箱文件交互
完全的隔离会牺牲了办公的便利性,所以需要在特定场景下允许PC沙箱和宿主机做文件交互,可以延伸到不同级别或业务类型沙箱直接的交互
4、审批和审计
大型企业已经具备基本的数据访问权限,建设PC沙箱后可以对接到沙箱的审批流程来实现调用,同时要具备文件共享审计、下载审计、外发审计等各种日志。
数据操作(数据安全的基础能力):
这里重点是外设管控、防截屏、剪切板控制、打印控制,零信任接入层面的账号安全、终端安全、动态访问控制等能力也是PC沙箱方案的一部分,不在这里展开介绍。
写在最后:
这篇文章主要是介绍下自己理解的PC沙箱功能设计的规划思路,就是围绕数据从哪来以及数据到哪去来规划安全能力,还有很多细节能力没在本文中提及,并不是不重要。从数据安全的角度演进,PC沙箱完全可以融合数据分类分级、文件外发加密等能力,发展成为数据安全的平台。
参考资料:
《基于“数据围栏”的终端安全建设思考》 上海证券 崔毅然
《PC端沙箱+网关类产品到底能解决什么问题?》 阿肯的不惑之年
`