谷歌GCP (云 Platform)安全性是指流程的实现实践, technologies 和 st和ards to secure applications, 资源 和 data running on Google’s cloud infrastructure service.
什么是GCP? 它是一种云计算服务,通过物理和虚拟资源分布在世界各地,并托管在谷歌数据中心中. The various services available to GCP users include data management, 混合和多云架构, 人工智能和机器学习(ML).
被称为 责任分担模式,有两种方式来看待 云安全 当使用任何云平台时:云提供商将致力于保护云环境及其边界, 而客户将努力确保在该云环境中运行的操作的安全.
根据定义,像GCP这样的公共云服务是通过公共互联网提供的. 这意味着您的敏感和关键任务应用程序和数据可以被授权用户和/或威胁行为者访问-如果没有采取适当的措施来阻止他们.
This is obviously easier said than done, 并且可能由于配置错误的资源或组织安全状况的漏洞/弱点而导致大量数据泄露. 为了帮助解决这个问题, there are a wide variety of best practices 和 st和ards that have been developed, 包括 由b谷歌提供.
GCP的安全性很重要,因为它提供的各种服务(由全球分布的软件和硬件支持)被用于复杂的用户操作,而这些操作可能很难确保安全. 这些操作包括:
最后一点, 互联网安全中心(CIS)最近发布了他们的GCP基础基准的更新版本. These benchmarks typically take the form of regulatory recommendations, 在此实例中,涵盖了从资源隔离到计算和存储的配置和策略. 这些不是需求,但它们可以在很大程度上缓解未来的安全问题.
Database or container misconfigurations is another reason GCP security is important. 不幸的是, 这些缺陷太常见了, 和 can leave a storage container vulnerable 和 exposed. 防止, 检测, 修复配置不正确的云数据服务是在GCP上运行操作的安全过程的关键部分. 检测和响应解决方案可以通过收集用户进入事件来帮助减轻潜在的风险, 行政活动, 和 日志数据 generated by GCP to monitor running instances 和 account activity.
What does it mean to leverage a 责任分担模式 (SRM) on GCP? 如上所述, 云提供商负责保护运行用户工作负载的基础设施, but the user is responsible for securing their confidential workloads, 资源, 和 data within that cloud infrastructure.
浏览我们的 Practical Guide to Gartner's 云安全 Archetypes
谷歌:
“在确定如何最好地保护谷歌云上的数据和工作负载时,理解共同责任模型非常重要. 共享责任模型描述了您在云中的安全性方面所面临的任务,以及这些任务对于云提供商来说是如何不同的.”
To know what type of 责任分担模式 they’re opting into, a user must first define the type of workloads they’ll need to run. 基于这些信息, 然后,他们将能够确定他们需要购买的云服务的类型. 在GCP上,这些可以包括:
混合或多云环境的关键是教育DevOps人才了解云提供商的共享责任模型(阅读有关AWS版本的信息). By knowing who is responsible for what type of security, there will be less errors that lead to fewer vulnerabilities.
我们现在知道,云提供商有责任保护其平台的基础设施. 让我们看一下GCP的一些总体安全工具,以帮助客户并实现他们的SRM.
该指挥中心有助于资产发现和盘点、威胁预防和威胁检测. 它使您能够了解在给定时间部署了哪些资源,并帮助识别错误配置和遵从性违反.
身份访问管理(IAM) 允许用户管理员成为谁可以访问特定云操作中的某些资源的看门人. Auditing capabilities provide visibility 和 culling at an organizational level.
A Key Management Service (KMS) puts encryption control in the h和s of the user. 谷歌的KMS特性支持在中央云服务中进行加密密钥管理,并提供了使用用户控制的对称或非对称密钥加密数据的灵活性.
云 监控和日志记录 are essential security tools within GCP. 从集中式套件访问, logging is a managed service that ingests application data, 日志数据, 和 data from other services inside 和 outside of Google 云. Monitoring imparts visibility into the health of applications running on GCP, 包括指标, 事件, 和元数据.
GCP’s Web Security Scanner checks for vulnerabilities in a user’s App Engine, Kubernetes, 和计算引擎web应用程序. It crawls an application to scan as many user inputs 和 event h和lers as possible. 它旨在作为补充用户现有漏洞扫描操作的附加服务.
经常, 然而, native tooling doesn’t extend to securing everything 和 can be hard to manage, thus the need for st和alone cloud-security providers.
采用一些最佳实践方法是一个好主意,不仅可以确保降低漏洞风险, but also that compliance is in continuous good st和ing 和 DevSecOps organizations are running from a solid knowledge base. 谷歌建议:
构建分层的安全方法
通过应用纵深防御方法,在应用程序和基础设施的每个级别实现安全性. 使用每个产品中的特性来限制访问并在适当的地方配置加密.
安全解耦系统的设计
Simplify system design to accommodate flexibility where possible, 和 document security requirements for each component. Incorporate a robust secured mechanism to account for resiliency 和 recovery.
Automate deployment of sensitive tasks
Take humans out of the workstream by automating deployment 和 other admin tasks.
自动化安全监控
Use automated tools to monitor your application 和 infrastructure. To scan your infrastructure for vulnerabilities 和 detect security incidents, 在持续集成和持续部署(CI/CD)管道中使用自动扫描.
Meet the compliance requirements for your regions
请注意,您可能需要混淆或编辑个人可识别信息(PII)以满足法规要求. 在可能的情况下,自动化你的工作 合规工作.
Comply with data residency 和 sovereignty requirements
您可能有内部(或外部)需求,要求您控制数据存储和处理的位置. These requirements vary based on systems design objectives, 行业监管问题, 国家法律, 税收的影响, 和文化. Data residency describes where your data is stored.
把保安移到左边
DevOps和部署自动化可以让您的组织提高交付产品的速度. To help ensure that your products remain secure, incorporate security processes from the start of the development process.