【Cloud Next 22】強化雲端隱形安全防護,Google Cloud 四大面向升級資安方案

近幾年,Google 持續提倡並落實 Open Cloud、Open Data 概念,致力於加速企業跨雲資源整合與數據開放。在邁向更開放的路上,雲端資安的重要性更為關鍵。Google 多年來積極投入於隱形安全防護(Invisible Security),持續將更完善的資安防護功能融入平台服務中,先前更宣布收購資安業者 Mandiant,借助其先進的智能威脅洞察資源來強化 Google Cloud 資安防護方案。

今年的 Cloud Next’22 大會上,Google 也發表多項針對不同產品的資安新功能。以下,CloudMile 為您統整歸納出四大升級面向,從數據協作、軟體供應鏈、資安分析與偵測到雲端混合辦公。

Confidential Space 整合機密運算資源:建立更安全的跨組織資料交換機制

現今,資料交換已是每間企業組織的日常,但是在跨組織協作的過程中,如何確保資料隱私且符合使用規範,已是全球各產業正面臨的挑戰之一,尤其是金融、醫療、公部門及電信等高監管產業。

因此,Google 繼先前推出 Confidential VM 提供加密運算服務,如今更進一步推出 Confidential Space,讓企業組織可以與其他組織交換數據進行資料分析比對或是機器學習應用,同時確保自己的數據只有自己擁有存取權限。

Confidential Space 架構以機密運算技術為基礎,在可信賴執行環境(TEE)中運作,並運用遠端認證(remote attestation)、搭配使用強化版的 Container-Optimized OS,讓企業用戶對於資料使用方式及授權操作擁有更完整的控制權。Confidential Space 使得組織間、團隊間能從運算到資料交換等面向,更安全地使用高度受監管的數據進行協作。

以產業應用舉例,Confidential Space 能確保金融或醫療的機敏資料安全地在跨部門、跨組織間進行交換協作,像是銀行與保險機構間便能運用 Confidential Space 交換數據,確保數據僅用於詐騙偵測(fraud detection)應用。

Confidential Space 能確保金融或醫療的機敏資料安全地在跨部門、跨組織間進行交換協作。
icon/enlarge

推出 Chronicle Security Operations:助企業更快速偵測、調查與回應資安事件

隨著資安威脅日益變化多端,企業 IT 部門時常疲於應付資安示警與新的資安威脅。Google 雲端原生的資安儲存與分析平台 Chronicle,讓企業能以 Google 等級的速度來進行大規模的資安偵測、調查及回應威脅等。

現在,Google 宣布推出 Chronicle Security Operations 套件,整合資安分析、自動化資安及智能威脅偵測相關功能與服務,以 Chronicle 的安全資訊和事件管理(SIEM)功能為核心,整併 Siemplify 的 SOAR(安全編排、自動化及響應)解決方案,同時也結合 Google Cloud(含VirusTotal)的威脅情報資料源,協助資安團隊能加速決策。近期購併的 Mandiant,其威脅情資與事件管理功能也將在後續併入 Chronicle Security Operations 中。

打造 Software Delivery Shield 方案:升級軟體供應鏈安全

Software Delivery Shield 提供軟體供應鏈安全完整代管方案
icon/enlarge

近年來駭客攻擊的常見管道,是從企業內部的軟體進行入侵,因此,Google 推出 Software Delivery Shield 代管方案,針對軟體供應鏈整體資安來進行防護。

Software Delivery Shield 提供一系列的模組功能,涵蓋從開發、供應、持續整合/持續部署(CI/CD)、執行環境(Runtime)到政策管理等五大面向,提供從開發人員工具到 GKE、Cloud Code、Cloud Build、Cloud Deploy 到 Artifact Registry 等 Google Cloud 服務。

Software Delivery Shield 於軟體開發各階段保護軟體安全。
icon/enlarge

1. 更安全的開發環境:Cloud Workstation

首先是 Software Delivery Shield 新推出的 Cloud Workstation 服務,在 Google Cloud 上提供完全託管的開發環境,開發人員可以透過瀏覽器隨時存取安全且可自訂的開發環境;Cloud Workstations 透過內建 VPC 服務控制、強制映像檔更新和 IAM 存取權限等機制,避免程式碼外洩、隱私風險、配置不一致等常見的本地端開發安全問題。

2. 更安全的開源軟體 Assured Open Source Software

此外,開發者普遍使用開源碼軟體,也成為駭客最愛下手的資安漏洞之一。Google 於今年 5 月推出 Assured Open Source Software 服務,將其整併至 Software Delivery Shield 中,可存取經由 Google 審查過的開源碼套件,而這些套件內建在 Google 安全流程中,定期進行漏洞掃描、分析與模糊測試(fuzz testing),目前已提供 Java 與 Python 共 250 個套件。使用此服務能自動產出軟體清單,詳列出應用程式中所使用的各種元件或程式庫等。此外,Software Delivery Shield 也整合 Artifact Registry,使開發團隊能安全地儲存、管理和保護 artifacts。

3. 提升 CI/CD 安全:Cloud Build、Cloud Deploy 

接著,在 CI/CD 方面,Google 也持續強化 Cloud Build 與 Cloud Deploy 兩平台的安全性,包括內建身份認證存取管理如 IAM 存取政策、VPC 服務控制等機制,DevOps 團隊能更妥善管理建置與部署流程。

4. 強化執行環境防護:Kubernetes Engine

同時,針對執行環境的應用程式安全, Google 推出內建於 GKE 的安全管理功能,能協助找出並修補在 GKE 叢集中的安全問題,GKE 儀表板可詳列哪些 workloads 受安全問題影響並提供解決指引。同時 Cloud Run 的安全面板也推出軟體供應鏈安全(SLSA)層級資訊等新功能;除了在軟體供應生命週期各階段都有安全強化功能外,Software Delivery Shield 也提供 Binary Authorization,確保唯有可信賴的容器映像檔能被部署在 GKE 或 Cloud Run 上。

強化 Google Chat 資安:增加資料外洩防治(DLP)、用戶端加密功能

在混合辦公方面,Google Workspace 也有許多安全功能的提升,包括將防制資料外洩功能加入Google Chat、Google Drive 有更精細的內外檔案分享控管功能,而 Gmail 與 Google Calendar 也開始支援用戶端加密功能等。

近期兩大針對 Google Workspace 的安全新功能,首先是 Google Chat 中新增防制資料外洩功能(DLP),能將企業 DLP 政策套用到所有 Workspace 環境中包括 Chat,能即時掃描檢查 Chat 中的內容,在第一時間就避免機密資料外洩;其次,針對資料權限控管,除了原先 admin 得以透過精細的權限設定,嚴謹地控管組織內外對於檔案及資料夾的存取行為,Google 也宣布既有的用戶端加密功能(Client-side encryption)也將擴大支援到 Google Calendar 與 Gmail 上,讓企業(enterprise)用戶能更強化信件和行事曆的隱私防護與資安合規。

更多 Google Workspace 混合辦公功能升級,歡迎閱讀:Google Workspace 四大亮點!升級資安、協作、整合力,助攻企業混合辦公效能

攜手 Google Cloud 與 CloudMile,打造完善的雲端生態系

整體來說,Google 針對資安攻擊各面向,一一強化安全防禦功能,從 Chronicle 快速偵測防禦攻擊事件、Confidential Space 強化資料交換安全、Software Delivery Shield 從軟體開發到部署生命週期各階段,強化軟體供應鏈安全(如圖2)等。除了資安防護升級(Trusted Cloud)外,今年 Cloud Next 大會上,Google 也持續在開放式的基礎架構、數據雲及雲端協作等四大面向,不斷創新、提供更完善的服務生態系。

立即報名 Google Cloud Next Recap: Taiwan!

Google Cloud 繼 10 月推出全球年會,將於今年 11/6 在台舉辦 Google Cloud Next Recap:Taiwan 在地活動,匯聚 Next’22 的精選主題,帶來 Google Cloud 年度 Next 活動的最新發表和技術革新。

立即報名
訂閱 CloudMile 電子報

所有 CloudMile 最新消息、產品動態、活動資訊和特別優惠,立即掌握。