整个Google Cloud Next 2019本周,Google高管不断重复一个数字:30个与安全相关的公告。我们不确定该公司究竟是如何计算的,但信息很明确:Google云平台(GCP)越来越安全。亮点无疑是Android手机的安全密钥。
但那只是一个开始。公告范围从全新产品到现有功能,可满足一般可用性要求。它们可以提高可视性,检测威胁,加快响应和补救,减少数据泄漏风险,确保安全的软件供应链以及加强政策合规性。谷歌甚至试图将所有这些分为三类:云的安全性,云中的安全性和安全服务。但这就像30位数字一样废话。我们不确定我们是否收到了所有30个公告,但这里是我们所做的事情的简要说明。
Chrome浏览器云端管理在Google Cloud Next 2018年宣布为测试版,现在通常可供企业客户使用。Chrome浏览器云管理可让管理员在云中管理Chrome:
Google管理控制台:从一个位置管理Windows,Mac和Linux环境中的浏览器。您还可以跨浏览器设置和应用政策,如果您已经在管理Chromebook或G Suite,则可以从同一控制台访问所有这些政策。
扩展:获取扩展使用的完整组织视图,并深入到单个计算机级别。您可以阻止或允许整个组织或特定组织组的单个扩展。
浏览器详细信息:访问有关浏览器版本,设备类型,应用策略等的重要信息。您还可以将数据导出到其他系统或工具。
如果您是G Suite,Chrome浏览器企业支持,Chrome Enterprise许可或Cloud Identity客户,则您已经可以在控制台中访问Chrome浏览器云管理。其他人只需创建一个测试帐户即可尝试Chrome浏览器云端管理。
访问透明度
Google已经拥有GCP的Access Transparency,这项服务可以在GCP管理员与您的数据进行交互以获得支持时近乎实时地创建日志。它还具有GCP的访问许可,允许您在GCP发生之前明确批准对您的数据或配置的访问。
现在,Google宣布G Suite企业通常提供G Suite的Access Transparency。此功能可让您了解Google Cloud员工对G Suite数据的访问权限。G Suite管理控制台记录每次访问,原因以及任何相关支持服务单。此外,Access Approval现已面向Google Compute Engine,Google App Engine,Google Cloud Storage和许多其他服务提供测试版。谷歌还推出了一款名为Access Approvals的全新产品。这允许您事先明确批准访问。而不是Google工程师自我批准,请求将发送给必须批准或拒绝访问的客户。
“我们相信这是独一无二的,”Google Cloud的Mike Aiello宣称。“我们为此感到非常自豪,因为它真正为客户提供了最大程度的控制权,即使是谷歌的内部人员也会使用他们的数据。”
DLP用户界面和VPC服务控制
接下来,Google正在推出测试版的数据丢失防护(DLP)用户界面,让企业能够在云规模上发现和监控敏感数据。通过GCP控制台提供的界面,您只需单击几下即可运行DLP扫描,无需管理任何代码,硬件或VM。
您的虚拟私有云(VPC)即将变得更好。现在通常可用的VPC服务控制允许您围绕特定GCP资源定义安全边界,以帮助减轻数据泄漏风险。
云安全指挥中心
谷歌的云安全指挥中心(Cloud SCC)是一个全面的GCP安全管理和数据风险平台,现已普遍推出。Cloud SCC是一个用于防止,检测和响应GCP威胁的单一场所,新服务进入:
事件威胁检测(beta)利用Google专有的智能模型快速检测恶意软件,加密挖掘和传出DDoS攻击等破坏性威胁。它会扫描Stackdriver日志中的GCP环境中的可疑活动,提取结果并标记它们以进行修复。
安全健康分析(alpha)会自动扫描您的GCP基础架构,以帮助解决公共存储桶,开放式防火墙端口,陈旧加密密钥,停用安全日志记录等问题的表面配置问题。
云安全扫描程序(App Engine的一般可用性,Google Kubernetes引擎和计算引擎的测试版)可检测GCP应用程序中的漏洞,例如跨站点脚本(XSS),明文密码的使用以及过时的库。
安全合作伙伴集成(GCP市场)与Capsule8,Cavirin,Chef,McAfee,Redlock,Stackrox,Tenable.io和Twistlock合并调查结果并加快响应速度。
Cloud SCC还可以帮助您通过导出事件来响应威胁并修复结果。新的Stackdriver事件响应和管理工具(即将推出测试版)可以跟踪事件。
Apigee安全报告
Google Cloud的API管理平台Apigee正在获取新的安全报告(即将推出测试版),以显示API程序的运行状况和安全状态。此工具旨在阻止针对暴露给组织内外开发人员的API的攻击者。
Apigee安全报告可以识别不遵守安全协议的API和发布最敏感API的用户组。可以在Apigee控制台和API中访问调查结果。
保护软件供应链
谷歌还宣布GKE服务,以帮助建立对集装箱化软件供应链的信任:
Container私有Docker注册表包含漏洞扫描,这是GKE的本机集成,用于识别Ubuntu,Debian和Alpine Linux的软件包漏洞。简而言之,它会在部署容器之前发现漏洞。
二进制授权(很快就可用)是一个部署时安全控件,它与您的CI / CD系统集成,确保容器映像满足组织的部署要求。二进制授权可以与Container Registry漏洞扫描,云密钥管理服务和云安全命令中心集成。
基于开源gVisor项目的GKE Sandbox(即将推出的测试版)为多租户工作负载提供了额外的隔离。这有助于防止容器逃逸,从而提高工作负载安全性
托管SSL证书(beta)为您提供GKE入口证书的完整生命周期管理(供应,部署,续订和删除)。托管SSL证书旨在简化大规模安全基于GKE的应用程序的部署,管理和操作。
屏蔽虚拟机(通常可用)提供可验证的计算引擎虚拟机实例的完整性。GCP上已部署了21,000多个屏蔽虚拟机实例。
保护G Suite数据
谷歌还宣布了新的方法来帮助保护,控制和修复对G Suite数据的威胁:
数据区域增强功能(一般可用性):G Suite Business和Enterprise客户现在可以指定存储静态覆盖数据的区域。这可以是全球性的,在,也可以是在欧洲。数据区域也可以覆盖备份。
电子邮件保护:高级网上诱骗和恶意软件防护(测试版)可以帮助管理员防范异常附件和欺骗域名的入站电子邮件。安全沙箱(beta)有助于保护企业客户免受勒索软件,复杂的恶意软件和零日威胁。
安全中心(测试版)和警报中心(测试版)提供最佳实践建议,统一通知和集成修复。管理员可以在安全调查工具中保存和共享调查,并指示警报状态,严重性和分配警报。管理员还可以在安全中心内创建执行自动操作或向警报中心发送通知的规则,管理员和分析师团队可以协同工作,在完成安全调查时获取所有权并更新状态。
保护网络用户
Google还推出了两项新的Google Cloud用户保护服务:
网上诱骗保护(测试版):向Google安全浏览报告不安全的网址,并在云安全监控中心查看其状态。这是Google帮助公司打击使用您的名称和徽标的网上诱骗网站的方式。
reCAPTCHA Enterprise(测试版):该服务基于reCAPTCHA,可以保护您的网站免受欺诈活动,如抓取,凭据填充和自动创建帐户。
上下文感知访问
Google 在云端身份识别代理(IAP)和VPC服务控制中提供了一般可用的上下文感知访问功能,并将其推向测试版的Cloud Identity和G Suite。它还将客户和合作伙伴的Cloud Identity(CICP)重命名为Identity Platform,并启动Microsoft Active Directory(AD)的托管服务。
上下文感知访问(通常可用):使管理员能够围绕GCP API,资源,G Suite(包括Gmail,云端硬盘,文档,表格,幻灯片,表格,日历和保留)以及第三方应用施加条件政策,使他们能够根据用户的身份,位置,设备安全状态和上下文来允许或拒绝访问。
身份平台(通常可用):它基于Google的内部身份技术及其Firebase应用开发平台,并提供可自定义的框架,用于管理用户注册和登录的应用流程。Identity Platform支持基本的电子邮件和密码身份验证,电话号码和社交媒体帐户,以及安全断言标记语言(SAML)和OpenID Connect(OIDC)等更复杂的方案。它与Web和移动平台(iOS和Android)上的一系列客户端软件开发工具包(SDK)以及服务器端SDK(包括Node.js,Java和Python)兼容。集成的自动威胁检测利用Google的云智能来检测帐户可能遭到入侵的迹象。同时,在可扩展性方面,
Microsoft Active Directory(AD)的托管服务:运行Microsoft AD的Google Cloud服务,旨在帮助管理基于云的AD相关工作负载并自动执行AD服务器维护和配置。Google声称几乎所有支持LDAP over SSL的应用程序,包括那些依赖于传统身份基础架构的应用程序,如Microsoft Active Directory,都与安全LDAP兼容。
在Microsoft Active Directory(AD)的托管服务中,产品经理Rob Kochman表示,大多数组织使用Active Directory作为其真实目录来源 – 它们存储有关其用户和帐户的信息。谷歌希望他们能够在云中实现这一目标。
“随着这些客户将以Windows为中心的工作负载迁移到云中,他们需要能够运行Microsoft Active Directory,”他说。“他们面临的挑战是,它可能很复杂,特别是如果你有一个非常复杂的环境。因此,我们将它们作为高度可用,强化,管理的Google云服务提供给运行Active Directory。这是一个真正的Microsoft Active Directory,而不是一个兼容的服务,它允许他们简化管理,简化安全性,并且可以很容易地利用Active Directory作为Google Cloud Platform上的身份提供者。“
谷歌还透露,它正在与(HRMS)提供商(如ADP,BambooHR,Namely和Ultimate Software)合作,将他们的平台与Cloud Identity集成。这些集成以及带有密码存储的应用程序的Dashboard和SSO支持将在未来几个月内普遍提供。
