1. 更安全的開發環境:Cloud Workstation
首先是 Software Delivery Shield 新推出的 Cloud Workstation 服務,在 Google Cloud 上提供完全託管的開發環境,開發人員可以透過瀏覽器隨時存取安全且可自訂的開發環境;Cloud Workstations 透過內建 VPC 服務控制、強制映像檔更新和 IAM 存取權限等機制,避免程式碼外洩、隱私風險、配置不一致等常見的本地端開發安全問題。
2. 更安全的開源軟體 Assured Open Source Software
此外,開發者普遍使用開源碼軟體,也成為駭客最愛下手的資安漏洞之一。Google 於今年 5 月推出 Assured Open Source Software 服務,將其整併至 Software Delivery Shield 中,可存取經由 Google 審查過的開源碼套件,而這些套件內建在 Google 安全流程中,定期進行漏洞掃描、分析與模糊測試(fuzz testing),目前已提供 Java 與 Python 共 250 個套件。使用此服務能自動產出軟體清單,詳列出應用程式中所使用的各種元件或程式庫等。此外,Software Delivery Shield 也整合 Artifact Registry,使開發團隊能安全地儲存、管理和保護 artifacts。
3. 提升 CI/CD 安全:Cloud Build、Cloud Deploy
接著,在 CI/CD 方面,Google 也持續強化 Cloud Build 與 Cloud Deploy 兩平台的安全性,包括內建身份認證存取管理如 IAM 存取政策、VPC 服務控制等機制,DevOps 團隊能更妥善管理建置與部署流程。
4. 強化執行環境防護:Kubernetes Engine
同時,針對執行環境的應用程式安全, Google 推出內建於 GKE 的安全管理功能,能協助找出並修補在 GKE 叢集中的安全問題,GKE 儀表板可詳列哪些 workloads 受安全問題影響並提供解決指引。同時 Cloud Run 的安全面板也推出軟體供應鏈安全(SLSA)層級資訊等新功能;除了在軟體供應生命週期各階段都有安全強化功能外,Software Delivery Shield 也提供 Binary Authorization,確保唯有可信賴的容器映像檔能被部署在 GKE 或 Cloud Run 上。
強化 Google Chat 資安:增加資料外洩防治(DLP)、用戶端加密功能
在混合辦公方面,Google Workspace 也有許多安全功能的提升,包括將防制資料外洩功能加入Google Chat、Google Drive 有更精細的內外檔案分享控管功能,而 Gmail 與 Google Calendar 也開始支援用戶端加密功能等。
近期兩大針對 Google Workspace 的安全新功能,首先是 Google Chat 中新增防制資料外洩功能(DLP),能將企業 DLP 政策套用到所有 Workspace 環境中包括 Chat,能即時掃描檢查 Chat 中的內容,在第一時間就避免機密資料外洩;其次,針對資料權限控管,除了原先 admin 得以透過精細的權限設定,嚴謹地控管組織內外對於檔案及資料夾的存取行為,Google 也宣布既有的用戶端加密功能(Client-side encryption)也將擴大支援到 Google Calendar 與 Gmail 上,讓企業(enterprise)用戶能更強化信件和行事曆的隱私防護與資安合規。
更多 Google Workspace 混合辦公功能升級,歡迎閱讀:Google Workspace 四大亮點!升級資安、協作、整合力,助攻企業混合辦公效能
攜手 Google Cloud 與 CloudMile,打造完善的雲端生態系
整體來說,Google 針對資安攻擊各面向,一一強化安全防禦功能,從 Chronicle 快速偵測防禦攻擊事件、Confidential Space 強化資料交換安全、Software Delivery Shield 從軟體開發到部署生命週期各階段,強化軟體供應鏈安全(如圖2)等。除了資安防護升級(Trusted Cloud)外,今年 Cloud Next 大會上,Google 也持續在開放式的基礎架構、數據雲及雲端協作等四大面向,不斷創新、提供更完善的服務生態系。