鳥哥談云安全 – Google云安全趨勢解讀[簡版]

0x00 背景

Google在近期發布了《Trusting your data with Google Cloud Platform》的一紙禪內容,非常值得國內云廠商思考自身關于數據安全的體系構建方法論,筆者也從拋磚引玉角度拋出了在RSA期間看到的Google相關的安全趨勢的簡單解讀。

0x01 一紙禪

Goolge Cloud Platform(后續簡稱GCP)為托管、服務客戶和保護客戶數據提供了一個非常高的標準,對于GCP來說安全和數據保護是設計和構建產品的基礎。GCP能提供承諾客戶擁有和控制自己的數據。客戶在GCP系統上存儲和管理的數據僅僅用于為該客戶提供GCP服務,并使GCP服務更好的為客戶服務,這些數據不會用于其他的目的和用途。

GCP擁有強大的內部控制和審計,以防止內部人員訪問客戶數據。GCP也提供給客戶Google管理員近實時的訪問日志,GCP是唯一提供訪問透明(Access Transparency)的云廠商。除了持續的安全監控之外,默認情況下,存儲在GCP中的所有數據在存儲和傳輸的時候進行默認加密。客戶也可以選擇管理他們在GCP上的密鑰,這一功能稱為customer-managed encryption keys (CMEK)。

GCP可以讓客戶監控自身賬號的活動。提供報告和日志,以便客戶的管理員可以輕松檢查潛在的安全風險、跟蹤訪問權限、分析管理員活動等等。另外組織中的管理員還可以使用Cloud Data Loss Prevention (DLP) 功能來保護敏感信息。DLP增加了一層額外的一層保護進而標識、防止敏感或者私有信息泄露到組織外部。另外客戶的管理員還可以通過組織中的移動設備實施安全策略,加密設備上的數據以及遠程執行擦除或鎖定丟失或者被盜設備等操作。

? ? ? ?另外,GCP還會進行第三方的審核認證,用以驗證GCP數據保護實踐是否符合給客戶的承諾。例如,作為保護PII(保護個人身份信息)相關的標準ISO 27018,Google將會針對數據使用合法性和規范相關的一系列控制進行審核,確保PII不會被用于商業目的。Google講繼續投資安全、創新和運營流程,進而進化和發展GCP平臺,使客戶能夠以安全透明的方式從GCP服務中受益。

0x02 云安全解讀

Google的展臺就展出了Cloud Identity和Cloud Armor從這點可以看得出來國外身份認證、DDoS、WAF需求最多;筆者覺得身份認證將會是下一個爆款產品;另外一個非常值得提的就是Azure Graph Security API服務;通過微軟自身的安全產品Microsoft Cloud App Security、Azure Security Center、Azure AD Information Protection、Azure Information Protection、Windows Defender Advanced Threat Protection、Office 365、Intune以及生態合作伙伴的包括Palo Alto、illumio、LookOut、Contrast、Symantec等產品的告警、威脅情報、配置信息、安全分等來進行安全策略的下發,給到SIEM廠商Splunk、IBM Qradar、Sumologic進行處理,也可以發送到Microsoft的APP來進行響應和處理;

生態

生態集成Google生態跟WAF合作模式是Armor進行規則管理,云服務提供商的自身安全產品要跟生態找到最好的匹配模式,Google是提供了規則模型來進行阻斷策略生態合作伙伴的WAF進行聯動的策略,找到很好的平衡點;生態解決方案逐步清晰完整,云服務提供商需要布局混合云各層面的安全包括系統、網絡、應用、數據安全方案:Google在RSA期間舉辦的會議邀請了幾家合作伙伴MSSP(云上Hunting、檢測服務、托管SIEM)、數據保護(因為AWS S3、Google Storage都存在一些安全問題,所以推出了混合云數據安全方案)、WAF、合規、漏洞掃描都非常貼近云上客戶的真實需求;

無密碼服務

不管是Google Moma(https://login.corp.google.com)還是Amazon的員工登錄服務Midway-Auth(https://midway-auth.amazon.com/)都采用了FIDO的認證方式,FIDO登錄方式增強了認證方式,可以阻止黑客入侵?Google 員工賬號帳號。使用FIDO認證,Google員工可以享有兩步驗證機制的額外保護。目前Google員工都佩戴了FIDO USB硬件,這套無密碼服務無縫的跟BeyondCorp進行聯動,徹底解決了釣魚等安全風險;

可見度

RSA2019創新沙箱的冠軍是Axonius,屬于資產管理的一家廠商,比較基礎的安全能力,但是在RSA裁判的視角認為基礎的資產管理能力是非常重要的,現在有太多的企業搞不清楚自身的資產到底有多少看不見的,這也就增加了攻擊面;筆者也第一時間去了Axonius的展臺,詳細了解了針對AWS云上資產管理的功能,通過了解Axonius是通過AWS的Access ID和Access Key去遍歷AWS所有Region的EC2資產信息、SLB信息等,進而通過Rapid7的資產管理API來獲取Rapid7的所有信息,通過這兩個信息的比對來判斷AWS EC2的資產是否都經過了安全掃描;在云上做資產管理是有優勢的,通過API接口可以快速的遍歷出來云上所有的資產;

云基礎設施安全

在參加Google的兩天線下交流時候,被一張Secure By Design: Google Infrastructure Tour的墻面吸引;Google講基礎設施安全就四個點,一個是全球的數據中心所有數據都通過GFE和使用了安全的網線,第二個點是默認存儲加密,所有Google Cloud Platform的產品使用默認存儲加密策略、第三個點是Titan芯片所有物理機上都安裝了Titan硬件芯片,作為硬件可信信任根,第四個點是數據中心安全主要是物理安全,進入數據中心需要生物識別和激光束入侵檢測系統;

云平臺服務提供商要根據自身的安全特點來對客戶講出最核心的安全能力,AWS的安全能力是基礎設施安全、數據保護、身份標識、檢測能力、應急響應;

Azure的安全能力是透明(對客戶數據保持透明的策略和承諾保障)、隱私(用戶可以很好的控制數據而Azure云平臺不會去看敏感的數據)、合規(查看滿足合規要求的產品、解決方案、證書)和安全(保證客戶的數據安全)四個關鍵詞;

0x03 參考

https://cloud.google.com/files/trusting-your-data-with-google-cloud-platform.pdf

 

發表評論