从抗D、密钥到调查审计 谷歌发布多款最新云安全工具
作者: 日期:2018年08月01日 阅:16,457

7月25日,谷歌发布一系列云安全工具,帮助客户安全访问资源,并为数据及应用提供更好的防护。

为改善安全和交付对用户设备上商业应用的灵活访问,谷歌将BeyondCorp中的元素引入谷歌云,推出了上下文敏感的访问。

公司企业可以用基于上下文敏感的访问方法(即基于用户的身份、位置和所请求上下文信息,定义并实施对谷歌云平台(GCP) API、资源、G Suite 和第三方SaaS应用的细粒度访问)来提升安全状态,减少用户操作复杂性,令用户得以在任意地点用任何设备登录。

新功能目前对少数虚拟私有云服务控制( VPC Service Controls )客户开放,使用云身份及访问管理( Cloud IAM)、云身份识别代理( Cloud IAP)和云身份( Cloud Identity )的客户应能很快加入使用者行列。

为更好地抵御凭证盗窃,谷歌发布了Titan Security Key (泰坦安全密钥)——一款引入了谷歌开发的固件以验证其完整性的FIDO安全密钥。该安全密钥旨在保护用户不受凭证盗窃的潜在破坏性影响,目前谷歌云客户可用,一段时间后入驻谷歌商店。

同样是在7月25日,谷歌推出Shielded VMs (安全虚拟机),用以确保虚拟机不会被篡改,供用户监视虚拟机状态基线或其当前运行时状态中的任何修改并及时作出反应。Shielded VMs 在网站上的部署非常简单。

谷歌表示,执行容器化工作负载的公司企业应确保谷歌Kubernetes引擎上仅部署了可信容器。为此,谷歌发布了Binary Authorization (二元授权),用以在部署容器镜像时验证签名有效性。

该工具即将进化到贝塔版,可与现有持续集成/持续交付(CI/CD)渠道融合,保证容器镜像在部署前得到恰当的构建与测试;还可与容器注册漏洞扫描结合,于实际部署前检测出Ubuntu、Debian和Alpine镜像中的脆弱包。

谷歌Cloud Armor DDoS及应用防御服务也发布了贝塔版——基于地理位置的访问控制功能。该新功能可让公司企业基于客户端的地理位置来控制对其服务的访问。

Cloud Armor 还可用于设置IP白名单封锁恶意流量,为SQL注入和跨站脚本攻击部署预设防范规则,根据用户自选的第3层至第7层参数实施流量控制。

Cloud HSM是托管云硬件安全模块服务,即将发展到beta版,可供客户托管密钥,以及在经 FIPS 140-2 3级安全标准认证的硬件安全模块(HSM)上执行加密操作,无需管理HSM集群即可轻松防护敏感工作负载。

Cloud HSM 与云密钥管理服务(KMS)紧密集成的特性,让用户可以很方便地创建和使用由硬件产生并保护的密钥,还能与客户管理的加密密钥(CMEK)集成服务配合使用,例如BigQuery、谷歌计算引擎、谷歌云存储和DataProc。

今年早些时候,谷歌发布了Asylo开源框架兼软件开发包(SDK),意在保护机密计算环境中数据和应用的机密性与完整性。

谷歌Access Transparency (访问透明)可以记录正在访问云端数据和应用的谷歌云平台(GCP)管理员。虽然云提供商的支持团队或工程团队介入时GCP的云审计日志不再提供管理员活动可见性,但 Access Transparency 会捕捉这些团队手动针对性访问的近实时日志。

谷歌还为 G Suite 客户推出了调查工具,辅助识别域内安全问题并加以响应。管理员可用该工具执行公司范围内跨多数据源的搜索,查看有哪些文件被共享到了外部,然后批量进行文件访问显示操作。

G Suite 报告和审计数据如今也能更方便地从管理员控制面板导出到谷歌BigQuery中了。而且,云安全指挥中心也新增了5个容器安全合作伙伴工具,可帮助用户更好地获悉谷歌Kubernetes引擎中运行容器的风险。

为达到客户感知自身数据所处位置的要求,谷歌发布了G Suite 数据区域。这是一款帮助 G Suite 商业及企业客户指定某些 G Suite 应用主要数据闲时存储区域的工具,存储范围或在美国,或在欧洲。

除此之外,谷歌还为Chrome浏览器添加了口令警报策略,令IT管理员可以防止公司雇员在公司管控范围之外的站点上重用公司口令,辅助抵御账户盗用攻击。

相关阅读

关于FIDO 你了解多少?

谷歌试图借助云安全击败AWS

谷歌用机器学习为Gmail增添安全功能

基于上下文的安全访问:谷歌公布BeyondCorp最佳实践

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章