近期 Google 舉辦 Google Security Talks 2020 線上論壇,介紹 Google Cloud 上許多近期發佈的安全新功能,以及 Google 對於雲端安全的願景。
雲端安全將逐步成為一種「看不見的安全」(Invisible Security),不再像過去是為了解決其他產品的問題。
Google 雲端資安總經理暨工程副總裁 Sunil Potti
資安不再是附加選項! 系統主動防禦 強化安全漏洞
首先從技術面來說,資安不再是一種外加的強化措施,而是在產品開發初期就需融入的概念,例如從 UX 設計到程式設計都把安全納入考量;至於在操作營運面,新型態的資安防護,可藉由機器學習的技術,資訊安全將從手動操作進化到自主運作(autonomic operations),意味著系統在問題發生前就能準確預測,並主動強化、修補資安漏洞。
接著,以人才面來看,專職的資安人員將會越來越少,原因是更多人才都將投入到安全工作領域,而安全工作也不再只是資安控制措施、法規遵循或風險管理,未來會逐漸融入到安全開發、安全架構或安全設計當中;最後,就風險層面來說,以往談到公有雲的雲端安全,雲端供應商與客戶之間擁有共同的責任,而未來這將會延伸成共有的命運(shared fate),客戶需要以其業務角度來定義所面臨的風險,雲端平台供應商則會架構出更多計畫,協助客戶管理風險。
Google Cloud 資安新功能:簡化並加速安全事件調查
Google Cloud 信任與安全部門行銷主管 Robert Sadowski 則介紹了近期 Google Cloud 產品服務上的幾個重要安全新功能,首先是 Google 的資安分析平台 Chronicle 能與市面上主流的資安協作自動化應變系統(Security Orchestration, Automation and Response, SOAR)整合(圖1),它可以加速資安事件調查,更具體得說,可以將 Chronicle 的即時威脅偵測功能結合 SOAR 的劇本(Playbook),在整合後的 SOAR 平台上也可以直接存取 Chronicle instance API 及搜尋參數等,最終能快速理清並強化資安;另一個新功能(測試版)是 Google 的 CA 憑證服務可以和市面上的 Certificate Lifecycle Management (CLM)產品整合,如 VENAFI、JETSTACK 等;至於 GCP 的資安新功能,Google 宣布推出 Confidential GKE nodes ,能將 GKE 節點與容器上的工作負載進行加密,使用過程不需改寫程式,只要幾個步驟即可完成。
Google Cloud 資安新功能:採用機器學習技術 強化網路防禦力
至於網路防護新功能,Cloud Armor Adaptive Protection 新加入機器學習技術來防禦 DDoS 攻擊,能提供關於惡意攻擊的情境分析,並提出處理方式,簡化線上應用程式安全管理負擔;而即將上市的 Firewall Insights 則能管理大型 VPC 網路的防火牆規則,能自動識別防火牆規則的衝突,去除潛在風險強化防火墻控管;至於 Identity Platform 則是 GCP上的使用者身份認證與存取管理解決方案,近期新增了支援 SMS 簡訊的多因素認證(MFA)功能。
強化遠端作業資安!Google Workspace 多項安全新功能提供全面防護
先前大家所熟悉的 G Suite 更名為 Google Workspace 之後,近期推出了一連串新功能,以加強雲端安全防護。受到 COVID-19 疫情影響,全球工作型態已大幅改變,據美國研調機構 Enterprise Technology Research 調查,今年永久改為遠距工作的人數預計將會增加 1 倍。由於工作不再侷限於單一場地,時間運用更為破碎且寶貴,同時對於遠距人際互動的需求也增加,因此,整合多項雲端協作工具的 Google Workspace 推出後,已經獲得 6 百多萬家企業支持,以及 26 億名使用者的愛用。
Google Workspace 透過四個面向來強化安全性,包括保護協同合作應用程式、保護使用者、保護裝置、保護存取權限與資料。
安全、隱私及可靠性是 Google 企業 DNA 的一部份,任何產品和服務的推出必定會納入此三項考量。因此,當疫情使得視訊會議等應用服務的需求暴增時,Google 靠著穩定的全球基礎架構擴充 Google Meet 的服務規模,同時滿足用戶在安全、隱私與法規遵循上的需求。此外,不論是以瀏覽器或 App 開啟 Google Meet 與 Chat ,用戶端與 Google 之間的資料傳輸都會經過加密,而 Meet 也採用許多反濫用(counter abuse)措施,像是透過 Meeting code 的設定規則,防止資料輕易地被暴力破解;在保護使用者方面,透過使用者進階保護計畫,能針對 CEO 或 CXO 等使用者帳號提供特殊的安全保護。此外,Google Cloud 也透過單一登入(Single sign-on) 的設定,讓第三方 App 也達到相同程度的帳號安全。
至於裝置安全方面,在透過 Google Workspace 存取企業資料前,會需要確保每個行動或桌面裝置都有一定程度的保護機制。在行動裝置上,使用者必須啟動 passcode 才能存取資料,而且一旦裝置遺失時,管理者有能力從遠端刪除裝置上的企業帳戶資訊。而在桌面裝置上,則是確保不管使用何種瀏覽器,都能自動登入裝置清單頁面;最後談到存取權限與資料的安全,Google Workspace 讓企業能依照需求情境以及欲存取的資源類型來給予權限,然而,在遠距作業之下,當員工從家裡或任一地點存取公司資料時,企業需要一種新的安全邊界政策,需要能依照使用者、裝置和欲存取的資源等,即時地控管對企業資源的存取,此即情境感知的存取控制。
整體來說,如上圖 2 所示,當使用者透過 Google Workspace 帳號憑證登入時,管理者即能控管其終端裝置,包括遠端抹除帳號;對於尚未接受資安教育訓練的新進員工,Gmail 能提供主動防護;對於身份特殊的使用者或部門,Google Workspace 則是能透過安全金鑰等方式提供進階保護;而當裝置出現可疑行為時,也可透過 DLP 或 security center 即時得知,並同時滿足法規遵循需求。
CloudMile 雲託管助攻企業防禦力:從顧問諮詢到 24x7 主動監控及故障排除
CloudMile 作為 Google Cloud 菁英合作夥伴,近期正式通過 Google Cloud 審核,成為全台第一家也是唯一獲得 Google Cloud 認證的雲端託管服務供應商(Managed Service Provider, MSP) 。CloudMile 獲得專業認證的項目包括基礎架構、資料分析與機器學習,可以提供企業一站式託管服務,從雲端導入策略諮詢、雲端搬遷實際執行導入、基礎架構與第三方整合優化,到全年無休的營運技術支援。
在雲端維運資安方面,CloudMile 提供包括 24 X 7 事件主動監控、故障排除和問題回報,以及應用程式修補、程式更新與升級等服務。其中,以企業等級的 GCP 技術支援方案服務層級協議(SLA)為例,CloudMile 能在 15 分鐘內緩解優先等級最高(P1)且影響程度最為關鍵的「服務停機」問題。此外,CloudMile 也針對希望加強資安弱點掃描、帳戶權限監控,或是取得進一步技術諮詢或機器學習模型訓練優化的企業,提供額外選購的加值託管服務。
延伸閱讀:
資安隱私不成問題!Google Workspace 為您提供最全面的安全措施
全台唯一榮獲 Google MSP 認證! CloudMile 雲託管服務助攻企業數位轉型