[collect]Google Cloud 提供的安全产品


=Start=

缘由:

收集整理一下Google Cloud提供的安全产品,从他们提供的安全产品来侧面了解Google是如何做云安全的,给自己提供一些参考和学习的机会。

正文:

参考解答:

从底层基础架构、网络安全,直到上层应用安全和安全合规:

  • 基础架构安全
  • 网络安全
  • 端点安全
  • 数据安全
  • 身份和访问权限管理
  • 应用安全
  • 安全监控和运营
  • 用户保护服务
  • 治理、风险与合规性

不得不说如果没有完善的底层基础架构能力、工具/平台,上层的数据安全、应用安全和安全合规也就无从谈起。而这方面Google又处于世界顶级,这一套整下来确实牛逼,给了后来者模仿的目标和标准(不过能做到的、需要全面做到的公司也不多)。


基础架构安全

Google的基础架构具备安全强化、配置管理、补丁程序/漏洞管理功能,在设计之初便确保了安全性。(security by default,design)

  • 云基础架构安全概览
  • 容器安全概览
  • 安全强化型虚拟机
  • Binary Authorization

网络安全

利用可定义并强制划定边界的产品来帮助保护网络安全,并实现网络分段、远程访问和 DoS 防御。

  • 虚拟私有云
  • Cloud Load Balancing
  • 传输加密
  • 应用层传输安全性
  • Cloud Armor

端点安全

借助设备安全强化、设备管理、补丁程序/漏洞管理功能,保护端点安全并防范入侵。

  • Chromebooks
  • Chrome 操作系统
  • Chrome 浏览器
  • G Suite 设备管理
  • 安全浏览

数据安全

利用数据发现机制,采取多种控制措施来避免数据丢失、泄露和渗漏,并实施数据治理计划,提高敏感数据的安全性。

  • 静态加密
  • Cloud KMS
  • Cloud Data Loss Prevention
  • G Suite Data Loss Prevention – Gmail
  • G Suite Data Loss Prevention – 云端硬盘
  • G Suite 信息权限控制
  • Cloud HSM
  • VPC Service Controls
  • G Suite 增强的网上诱骗和恶意软件防护功能
  • G Suite 第三方应用访问权限控制
  • G Suite 安全沙盒

身份和访问权限管理

管理并保护员工、合作伙伴、客户和其他身份,及其对云端和本地的应用和数据的访问权限。

  • Cloud Identity
  • Identity Platform
  • Cloud IAM
  • Policy Intelligence
  • Cloud Resource Manager
  • Cloud Identity-Aware Proxy
  • 情境感知访问权限
  • Managed Service for Microsoft Active Directory
  • Security Key Enforcement
  • Titan 安全密钥

应用安全

借助应用测试、扫描和 API 安全功能,保护和管理公司的应用。

  • Cloud Security Scanner
  • Apigee

安全监控和运营

监测是否存在恶意活动,处理安全突发事件,并为预防、检测和应对威胁的运营流程提供支持。

  • Cloud Security Command Center
  • 安全中心 – G Suite
  • 提醒中心 – G Suite
  • 数据区域 – G Suite
  • Access Transparency
  • Access Transparency – G Suite
  • Event Threat Detection
  • Cloud Audit Logs
  • Cloud Asset Inventory
  • 背景故事

用户保护服务

保护用户上网安全。

  • Phishing Protection
  • ReCAPTCHA Enterprise
  • Web Risk API

治理、风险与合规性

支持管治与合规性流程,包括审核、风险评估、合规报告和认证。

  • 第三方审核与认证
  • Cloud Data Loss Prevention
  • Access Transparency
  • Vault – G Suite
参考链接:

Google Cloud 提供的安全产品
https://cloud.google.com/security/products?hl=zh-cn

=END=


《“[collect]Google Cloud 提供的安全产品”》 有 7 条评论

  1. 美团配送数据治理实践
    https://mp.weixin.qq.com/s/8MIgp_Sto3cW_THG14FGUw
    `
    # 背景

    大数据时代的到来,让越来越多的企业看到了数据资产的价值。将数据视为企业的重要资产,已经成为业界的一种共识,企业也在快速探索应用场景和商业模式,并开始建设技术平台。

    但这里要特别强调一下,如果在大数据“拼图”中遗忘了数据治理,可能再多的技术投入也是一种徒劳。因为没有数据治理这一环节,其带来后果往往是:随处可见的数据不统一,难以提升的数据质量,难以完成的模型梳理,难以保障的数据安全等等,源源不断的基础性数据问题会进一步产生,进而导致数据建设难以真正发挥其商业价值。

    因此,消除数据的不一致性,建立规范的数据标准,提高数据治理能力,实现数据安全共享,并能够将数据作为企业的宝贵资产应用于业务、管理、战略决策中,发挥数据资产价值变得尤为迫切和重要,数据治理呼之欲出。本文将介绍美团配送技术团队在数据治理方面的一些探索和实践,希望能够对大家有所启发和帮助。

    1. 如何理解数据治理
    2. 要达成的目标
    3. 何时进行数据治理
    4. 如何开展数据治理

    4.1 定标准,提质量
    4.1.1 业务标准
    4.1.2 技术标准
    4.1.3 安全标准
    4.1.4 资源管理标准
    4.2 重实施,保落实
    4.2.1 架构治理
    4.2.2 元数据治理
    4.2.3 安全治理

    经过三个阶段的治理工作,我们在各个方面都取得了较好的效果:

    * 在数据标准方面,我们制定了业务标准、技术标准、安全标准、资源管理标准,从而保障了数据生产、管理、使用合规。
    * 在数据架构方面,我们通过桥接表、时间刻度化、业务口径下沉等手段提升模型灵活性,并保障数据一致性,消除跨层引用和模型冗余等问题。
    * 在数据安全方面,我们加强了对敏感数据和数据共享环节的安全治理,保证数据拿不走、走不脱,隐私数据看不懂。
    * 在元数据建设方面,我们打通了从采集到构建再到应用的整条链路,并为数据使用人员提供数据地图、数据可视化等元数据应用产品,帮助他们解决了“找数”、“取数”、“影响评估”等难题。
    `

  2. Google Cloud 的网络设计
    https://mp.weixin.qq.com/s/ZxknBcEsSxZBdesDrvvNMA
    `
    最近看了 18 年 Google 在 NSDI 上一篇介绍 Google Compute Platform 中整体网络设计的论文。这篇论文从 GCP 面临的大规模且变化频繁的网络挑战讲起,介绍了控制平面和数据平面的设计和改造。最终做到控制平面可以支撑单个网络 100000 VM,数据平面以纯软件的方式做到接近物理网络的性能,吞吐量做到 30Gb/s,单核 pps 做到了三百万。并做到了网络在线迁移,数据平面可以每周在线升级的高速灵活迭代。

    相比于 AWS 所有网络功能下沉到专门的硬件卡,Azure 使用专门的 FPGA 做网络加速,GCP 只使用了 Intel 芯片的一些通用 offload 能力(encryption,checksums,memory copies)。流表查询,数据包转发,ACL, LB,NAT 等功能都是纯软件实现的,基本可以认为是当前最大规模纯软件 SDN 实践了,当下容器大规模网络设计也可以从中借鉴很多思路。

    由于 GCP 在主机的数据平面使用的是 OVS,编程模型也用到了 OpenFlow(当然都魔改了不少),阅读的时候免不了会和 OVN 做一下对比。下面会从 GCP 网络的设计目标,控制平面和数据平面分别进行介绍。
    `
    https://www.usenix.org/conference/nsdi18/presentation/dalton
    https://www.usenix.org/conference/nsdi18/presentation/firestone

  3. Google新书:《构建安全可靠的系统》
    https://mp.weixin.qq.com/s/HztqUAeAfuobvXzOfZ6CFA
    `
    近日Google安全团队发布一本新书,叫《Building Secure & Reliable Systems》,由著名的O’Reilly出版社发行,用户可以购买纸质书,或者下载免费的电子书,可见他们在知识分享和基础安全建设贡献上,着实对安全行业的发展分享不少的经验,力行推动行业发展。

    之前Google为了让亿万用户使用更加稳定可靠的服务,他们组建了一支专业的团队去负责此块工作,这个团队叫“Site Reliability Engineers (SREs)”(网站可靠性工程师),即DevOps的践行者,主要职责都是构建、部署、监控、维护软件系统等等,此书正是由该团队编写的。
    `
    https://static.googleusercontent.com/media/landing.google.com/zh-CN//sre/static/pdf/SRS.pdf

  4. Google Cloud networking in depth: three defense-in-depth principles for securing your environment
    https://cloud.google.com/blog/products/networking/google-cloud-networking-in-depth-three-defense-in-depth-principles-for-securing-your-environment
    `
    # 三个深度防御原则
    In addition to tools, there are three principles for defense-in-depth network security that you should follow to reduce risk and protect your resources and environment:
    除了工具之外,还有三个你应该遵循的网络安全深度防御原则,以减少风险和保护你的资源和环境:

    * 保护面向互联网的服务(Secure your internet-facing services)
    * 为私有部署保护你的VPC(Secure your VPC for private deployments)
    * 应用和服务之间的微隔离(Micro-segment access to your applications and services)
    `

  5. Introducing Security By Design
    https://security.googleblog.com/2021/05/introducing-security-by-design.html
    `
    Integrating security into your app development lifecycle can save a lot of time, money, and risk. That’s why we’ve launched Security by Design on Google Play Academy to help developers identify, mitigate, and proactively protect against security threats.

    将安全集成到应用开发生命周期中可以节省大量时间、金钱和风险。这就是为什么我们在谷歌Play Academy上推出了Security by Design课程,以帮助开发者识别、缓解并主动防范安全威胁。
    `
    https://playacademy.exceedlms.com/student/path/63550-security-by-design

    Android应用安全性最佳做法
    https://developer.android.com/topic/security/best-practices

  6. 云风险百科全书(Cloud Risk Encyclopedia)
    Search 1200+ cloud security risks or filter by cloud vendor, compliance framework, risk category, and criticality.
    3 云平台(cloud platforms). 47 合规框架(compliance frameworks). 18 风险类别(risk categories). 4 风险级别(risk levels).
    https://orca.security/resources/cloud-risk-encyclopedia/

  7. Google Cloud Security Overview
    https://cloud.google.com/blog/topics/developers-practitioners/google-cloud-security-overview
    `
    治理、风险和合规 Governance, risk and compliance
    安全监控和运营 Security monitoring and operations

    终端安全 Endpoint security
    身份和访问管理 Identity and access management
    数据安全 Data Security
    软件供应链安全 Software Supply Chain Security
    应用安全 Application security
    网络安全 Network security
    基础设施安全 Infrastructure security

    ==

    内容安全 Content
    访问策略 Access Policies
    使用量 Usage
    部署 Deployment
    Web应用安全 Web application security
    身份 Identity
    运营 Operations
    访问和鉴权 Access and Authentication
    网络安全 Network Security
    定制化操作系统,数据和内容 Guest OS, Data & Content
    操作审计 Audit Logging
    网络 Network
    存储和加密 Storage + Encryption
    内核加固和进程间通信 Hardened Kernel + IPC
    启动 Boot
    硬件 Hardware
    `

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注