谷歌试图借助云安全击败AWS
作者: 日期:2017年03月19日 阅:4,975

谷歌云平台上运行的企业应用保护新工具,令亚马逊AWS和微软Azure黯然失色。

谷歌清楚:如果要企业将重要服务迁移到其云端,它就得提供AWS不具备的一些东西。在前不久举行的谷歌 Cloud Next 大会上,公司高层宣称谷歌云才是最安全的云。

大会上,谷歌揭开了其云端新工具的面纱。这些工具可让IT团队提供细粒度的应用访问,更好的密钥管理,以及更强大的云应用身份验证机制。虽然其中一些功能,比如密钥管理服务,与AWS已经实现的类似。而其他的,比如谷歌云平台(GCP)、DLP API 等,就不局限于基础设施而迈向单个应用防护了。

谷歌显然将安全作为了其在云基础设施提供商之间越众而出的倚仗。不仅仅是底层硬件和虚拟机,这些基础设施上运行的应用,也被纳入了保护范围之列。

保护敏感数据

DLP API 目前还是Beta版,可使IT团队识别并删除GCP应用中的敏感信息。DLP技术执行深度内容分析,对列表中超过40种敏感数据进行匹配,比如信用卡和账户数字,或者联系人信息,并让管理员来决定这些信息的防护程度。新安全功能发布页面上的截图,显示了 DLP API 删除文档中信息的景象,诸如人名、邮箱地址、手机号、身份证号、信用卡号什么的。

管理员可指定每种数据类型应用的防护级别。利用OCR(光学字符识别)技术,管理员还可以管理图像和文本中存储的内容。

让谷歌越众而出的关键因素,是 GCP 所用 DLP API,乃是2015年发布的 Gmail DLP 和 今年1月发布的 Drive DLP 的扩展。这3个工具的组合,赋予了IT管理员编写一次策略,便可在所有平台统一管理敏感数据的能力:云基础设施上运行的应用,Gmail中存储的消息,Drive上存放的文档。

谷歌为企业提供保护云应用中数据的安全工具。而亚马逊,虽然也投入了数据防护,却集中在服务器和块存储层次。

控制应用访问

目前,IT团队对应用的访问控制主要依靠VPN,但这种方式要么不出事,一出事就是全盘皆输。持有效凭证的用户可访问全部应用,一个用户凭证被黑,所有应用安全不保。更细粒度的访问控制一直以来都是个挑战。而雇员总在非受信网络上来去和工作,也让VPN成为了低效的访问控制管理方法。

这就是身份敏感代理(IAP)的切入点,虽然也处于Beta版阶段,却能让IT团队从VPN模式,切换到可对单个应用评估风险的方式。管理员指定每组用户对每个应用的权限,只有经授权并通过身份验证的用户,才能访问谷歌云上受IAP保护的应用。

IAP是BeyondCorp框架的一个元素,该框架是谷歌内部开发出来的企业安全模型,可使谷歌员工从非受信网络登录工作而无需担心VPN问题。用户通过网页浏览器访问IAP保护的应用,由IAP负责处理身份验证过程。

谷歌选择了与亚马逊及其AWS身份访问管理(IAM)服务不同的方向,来解决身份验证问题。AWS IAM 让管理员控制对AWS服务API和特定资源的访问,并对用户访问AWS的方式添加具体控制。亚马逊还让IT通过AWS活动目录,来管理用户和组。谷歌的方法,则更侧重应用端。

在云端强制双因子身份验证

现在GCP和 G Suite 上基本都有的强制安全密钥(SKE),使IT团队可要求所有用户都开启安全密钥作为两步验证因子之一,无论他们是登录 G Suite,还是访问谷歌云平台资源。

此前,用户可以自行决定是否采用硬件密钥(比如Yubikey)作为两步验证的一部分。有了 GCP SKE,如今,IT管理员便可强制要求使用硬件密钥了,也就给云工作负载再添了一层安全身份验证。IAP可与安全密钥集成,遏阻网络钓鱼。

改善云环境

Cloud Next 大会上的产品发布听起来是不是颇为熟悉?那是因为谷歌在今年早些时候就往 G Suite 里加入了这些企业级工具。DLP和SKE被加入 G Suite 的事实,再次重申了谷歌的云安全策略。很多情况下,谷歌本身就是谷歌云的客户:为 G Suite 和Gmail推出安全工具,然后在GCP上对公司企业开放使用。

云安全是共享责任,提供商专注数据中心物理安全和硬件防护,企业负责应用和数据。通过提供云端应用和数据的防护工具,谷歌改变了此一格局。

“为什么我要将最重要的应用交托给你?”——对有此疑问的企业而言,这些工具或许就是答案。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章