=Start=

缘由：

取法乎上得其中，将学习目标定为顶级，才有机会成为一流。这里摘录一下Google整理的一些安全场景和他提供的解决方案，方便有需要的时候进行参考和进一步学习。

正文：

参考解答：

保护 + 控制 + 合规

办公网(保证业务连续性，避免、减缓由垃圾邮件、恶意邮件、恶意软件和诈骗网站带来的风险)：

Chrome操作系统 – 保护桌面系统的安全
Chrome浏览器(沙盒+安全浏览策略) – 可以作为前置堡垒将诈骗网站和恶意软件阻挡在外
双因素认证和安全密钥 – 保护用户账户安全
Gmail – 过滤垃圾邮件和恶意邮件
Google Drive云盘 – 文件备份，避免极端情况下文件丢失的问题

生产网(保证业务连续性，安全漏洞的检测、安全监控和审计、防数据泄露)：

防DDOS：
Cloud LB – 负载均衡
Cloud CDN – 内容分发
快速扩容能力 – 自动扩缩容
集成第三方的DDOS和WAF产品/解决方案 – 按需选取和使用

防网站安全漏洞：
Cloud Security Scanner – 发布前扫描，线上定期扫描和报告
Cloud Armor – 云WAF

防数据泄露：
VPC Service Controls – 网络隔离
Cloud DLP API – 发现敏感数据，从而有助于进一步的信息分类和分级

安全监控和审计：
Cloud Security Command Center – 应该是实现的SOC+SOAR的功能
Cloud IAM – 用户账号、设备的管理，加上资源访问权限的控制和管理
Cloud Audit Logs – 日志记录的查看，了解“哪些用户何时在何处执行了什么操作”

---

保护

网上诱骗

网上诱骗是指诈骗者从伪造的地址发送电子邮件，企图通过这种手段获取敏感信息。

Gmail 电子邮件过滤

能够过滤掉 99.9% 的垃圾邮件和恶意电子邮件，使此类邮件永远无法进入员工的收件箱。

两步验证 (2SV) 和安全密钥

采用两步验证方法后，即使员工的安全凭据被盗，黑客也会因没有实体安全密钥而无法访问帐号。

安全浏览

Chrome 浏览器会显示警告，以阻止员工访问涉嫌存在网上诱骗行为或托管恶意软件的网站。

Cloud Identity-Aware Proxy (Cloud IAP)

利用基于身份的精细化控制机制，限制攻击者访问应用的能力。

勒索软件

勒索软件是指对用户计算机上的数据进行加密的恶意软件。犯罪分子要求付款才会解密并放出数据。

安全浏览

Chrome 浏览器会显示警告，以阻止员工访问涉嫌托管恶意软件的网站。

Google 云端硬盘

虚拟云端硬盘是 Google 云端硬盘的桌面客户端，该工具可备份本地文件，从而能够让任何感染了病毒的文件轻松恢复到“干净”版本。

沙盒

Chrome 浏览器可将威胁隔离到一个标签页内，以防止勒索软件等恶意软件在用户的整个系统上扩散。

安全合作伙伴

Google 通过与 CrowdStrike 和 TrendMicro 等端点保护领域的一流企业合作来提供额外的保护层。

Chrome 操作系统

每次重新启动时，Chrome 的验证启动功能都会确保操作系统未遭到入侵。如果检测到恶意软件，操作系统会还原为最近的版本。

拒绝服务攻击

拒绝服务 (DoS) 攻击是一种试图使您的服务或应用不可用的攻击行为。例如，通过海量的流量让您的应用崩溃。

Cloud Load Balancing

Google Cloud Platform 可靠的全球基础架构可减轻 DDoS 攻击（例如 SYN 洪水、IP 碎片洪水和端口耗尽）对基础架构的影响。

Cloud CDN

如果可缓存内容遭遇 DDoS 攻击，系统会将请求发送到全球各地的不同接入点 (POP)，以帮助消减攻击。

Cloud Armor

借助 IP 黑名单和白名单、基于地理位置的访问权限控制功能、SQL 注入攻击与 XSS 攻击防御机制以及自定义规则，来防御各种规模的应用感知攻击和多矢量攻击。

通过扩容来消减攻击

多区域应用实例通过扩大受攻击面来消减攻击。自动扩缩功能有助于顺利应对流量高峰。

第三方 DDoS 攻击防御和 WAF 解决方案

将 GCP Marketplace 上提供的合作伙伴解决方案无缝集成到部署中，以获享专业保护。

控制

数据渗漏

数据渗漏是指外部攻击者或恶意内部人员在未经授权的情况下从您的组织转移敏感信息。

Cloud Data Loss Prevention (DLP) API

Cloud DLP 可发现您组织中的敏感数据（例如财务记录和个人身份信息 (PII)），还可以对其进行分类和保护。

VPC Service Controls

借助精细的网络政策，将 GCP 资源相互隔离。

Cloud Identity & Access Management (IAM)

控制哪些用户可以访问数据和资源。

Forseti Security + Cloud Security Command Center

Forseti 会扫描 GCP 资源，以确保适当的访问权限控制措施落实到位。Cloud Security Command Center 会集中提供安全性事件报告，从而帮助您发现您的数据和应用所面临的潜在威胁。

随时随地智能访问

情境感知访问权限机制会综合考虑用户信息与数据敏感度信息，以做出智能的访问权限控制决策。

Cloud Identity

管理用户帐号、对用户进行身份验证、实现单点登录，并管理设备。

Cloud Identity-Aware Proxy (Cloud IAP)

根据用户身份和情境属性（如位置、网络和设备状态），控制对应用和资源的访问。

Access Context Manager

根据用户位置、IP 地址和端点安全状态等属性，创建精细的访问权限控制政策。

安全监控

组织需要了解漏洞、威胁和突发事件状况，以便评估风险并按轻重缓急的顺序采取相关纠正措施。

Cloud Security Command Center

在一个信息中心内收集、整合、分析统一的安全信息（例如扫描结果、通知和第三方信息流）并采取行动。与 Cavirin、Cloudflare 和 Redlock 等公司提供的一流第三方解决方案进行集成，以强化安全评估和检测。

Cloud Security Scanner

在部署阶段之前的开发阶段，查找 Web 应用中的安全漏洞。

G Suite 安全中心

监控您的 G Suite 网域是否存在安全威胁。 查看安全性分析信息，根据推荐的最佳做法采取行动。

Cloud Audit Logs

查看审核事件的不可变跟踪记录，了解“哪些用户何时在何处执行了什么操作”。

合规

独立验证

Google 会定期对他们的安全、隐私与合规控制措施进行审核。

参考链接：

Google安全场景和解决方案
https://cloud.google.com/security/solutions

=END=