谷歌云平台(GCP) 是谷歌的托管云服务。与 AWS 和 Azure 一样,GCP 提供范围广泛的云服务。然而,与任何云平台一样,GCP 也存在必须加以管理的安全风险。
不同类型的谷歌云平台(GCP)服务
云计算允许公司将其基础架构堆栈的某些部分的责任外包给第三方提供商。GCP 等云平台提供各种服务模型,其中云服务提供商负责或多或少的云基础架构堆栈。
一些常见的云模型包括:
软件即服务 (SaaS):云客户可以使用由云提供商开发和维护的应用程序,例如 G-Suite。
平台即服务 (PaaS):云提供商提供了一个环境,客户可以在其中部署应用程序和数据库。
基础架构即服务 (IaaS):云客户可以访问可以部署虚拟机 (VM) 的环境。
在所有这些服务模型下,云客户负责在云共享责任模型下维护和保护其基础架构堆栈的某些部分。这可以从在 SaaS 解决方案中正确配置供应商提供的安全设置到保护在 IaaS 部署中运行的 VM 的操作系统和应用程序。
GCP 中的安全风险
与其他云平台一样,GCP 与本地基础设施有很大不同,这些差异会带来安全风险。公司面临的一些主要安全挑战包括:
误解安全责任:在云共享责任模型下,云客户负责保护其云基础架构堆栈的某些级别,并分担其他级别的责任。缺乏对安全责任的理解可能会留下安全漏洞。
缺乏云可见性:云共享责任模型和快速变化的云部署规模可能导致难以实现全面的云可见性。这可能会削弱安全团队防止和响应针对云基础设施的攻击的努力。
不安全的云配置:像 GCP 这样的云平台通常有一系列供应商提供的设置,必须正确配置这些设置才能实现安全的云部署。安全配置错误是云中数据泄露和其他安全事件的主要原因。
工作负载安全:云工作负载——例如虚拟机、容器和无服务器功能——具有独特的安全风险。如果未能正确管理和保护这些工作负载,可能会使它们容易受到攻击。
弱访问管理:云基础设施可公开访问,使其成为攻击者的理想目标。未能正确控制对云部署的访问可能会使它们和组织的本地资产面临风险。
不可扩展的云安全:敏捷性和可扩展性是基于云的基础架构的两个主要优势。如果云安全流程无法扩展以跟上云基础设施的扩展,那么组织的云部署可能容易受到攻击。
谷歌云平台的7个安全最佳实践
GCP 部署需要一个旨在满足其独特安全需求的安全策略。七个GCP 安全最佳实践包括以下内容:
利用谷歌云安全蓝图:谷歌提供了一系列云安全解决方案,并发布了有效保护其服务的蓝图。GCP 安全架构应从 Google 提供的蓝图开始。
了解共享安全:不同的云服务模型(SaaS、IaaS、PaaS 等)具有不同的安全风险和责任。清楚地了解云安全责任对于安全的 GCP 部署至关重要。
集中记录和监控:可见性是云基础设施中最大的安全挑战之一。集中记录云基础设施,以提供对 GCP 部署的全面可见性。
尽可能自动化:云基础架构旨在快速扩展和发展。自动化对于大规模实施一致的云安全策略和控制至关重要。
监控安全设置:安全配置错误是云安全事件的主要原因。自动化云安全态势管理 (CSPM)解决方案可帮助组织在问题被攻击者利用之前识别并修复问题。
保护云工作负载:关键应用程序和数据存储越来越多地转移到云工作负载,例如容器、虚拟机和无服务器功能。云工作负载安全解决方案提供针对云工作负载的独特需求量身定制的深入可见性和保护。
实施最低权限: GCP 提供定义资源层次结构的能力,资源层次结构管理对云资源的访问。基于最小特权原则设计层次结构,以最大限度地减少安全事件的影响。