對雲端資安抱有疑慮是許多企業不敢上雲的原因之一,但雲端安全性真的低於地端嗎?長年榮獲 Google Cloud 合作夥伴獎的 Cloud Ace,此次從四大雲端資安面相出發,整理其中的防護機制設定要點和兩種實用的資安架構,希望讓企業對雲端資安防護有更全面的認識。
4 大常見 Google Cloud 資安服務由 KPMG 推出的《臺灣企業資安曝險大調查》顯示,台灣 50 間大型企業的平均財物損失風險為 2000 萬台幣,且位居榜首與墊底的企業,財務損失風險差距更高達 900 倍。儘管雲端安全性不亞於地端,但對防護機制的不熟悉卻常讓企業身陷資安威脅中。一起了解如何透過 Google Cloud 的資安服務,妥善維護雲端安全吧。
身份情境控管
Google Cloud 是透過 Gmail 或 Google Workspace 帳號(使用者或群組)進行用戶的身份驗證,此外,它也支援透過 Service Account 來給予執行程式身份,使各項服務能識別執行程式所擁有的權限。
而用戶權限的判讀則是透過 IAM(Identity and Access Management)賦予的角色,來驗證其是否具有操作雲端資源的權限。因此可藉由將權限角色設定於不同的資源層級(Resource Hierarchy),規劃對應資源的可存取範圍。例如透過在 Cloud Storage 的 ACL(Access Control List)上給予用戶可存取的 IAM 角色,指定其對特定物件的存取權。在賦予角色的合適性上,Google Cloud 也會將使用者行為以 IAM Recommander 進行自動化的 AI 推薦,限縮使用者過大的操作權限。
在 IAM 的基礎上,我們可進一步使用 BeyondCorp 資安模型的 IAP(Identity-Aware Proxy)來控管內部成員的資源存取權限,並搭配 OS Login 進一步對使用者進行規範與稽核。此外,BeyondCorp 也有針對用戶存取情境的控管服務,即 ACM(Access Context Manager)與 VPC SC(Service Control)的搭配運用,藉此我們能更明確地規範使用者存取的服務、操作地點及設備等情境。
除了上述針對使用者權限控管的服務外,我們也能透過稽核紀錄(Audit Log),依據需要稽核的服務蒐集操作記錄,稽核使用者對服務的設定修改及資料調用行為。
網路連線控管Google Cloud 是透過軟體定義的虛擬私有雲(Virtual Private Cloud,VPC)制定內部網路環境,而連線的控管能藉由防火牆規則(Firewall rule)進行內部主機的流量出入管理。一般我們可用白名單允許限定的流量來源網段進入特定主機,避免惡意流量進入。
雖然要確保惡意流量無法直接傷害主機,最好是不給予主機外部 IP(External IP),但沒有外部 IP 的主機是無法直接存取網路資源的,所以這時可透過 Cloud NAT 以代理的外部 IP 對網際網路資源進行單向存取,進而安全訪問外部資源。而預設也是透過外部網路提供的 Google API 服務,則可藉由 Private Google Access 以內網訪問。
應用服務控管承接前文,我們一般利用不給予主機直接接收外網流量的方式提高安全性,所以要讓部署的服務能正常對外開放,可透過 Cloud Load Balancer (LB)作為服務對外的接收窗口。而其中透過反向代理的 LB(如 [HTTP(S)] LB 或 TCP/SSL Proxy LB),會以 GFE 作為外部流量閘口,將用戶部署的服務保護在 Google Cloud 強大的基礎設施後。
此外,LB 亦可搭配 Cloud Armor 設置 WAF(Web Application Firewall)規則,Google Cloud 提供了針對 OWASP 十大資安攻擊方法的預置防禦規則,可透過簡易的設定自動偵測並防禦外部惡意流量。另外,Cloud Armor 也能針對網段、地區、URL、Header 或請求頻率制定客製化規則,阻擋特定攻擊來源或服務弱點。
Google Cloud 會對儲存在雲端上的資料進行預設的拆分加密,而這個加密又會透過資料加密金鑰(Data Encryption Key,DEK)與金鑰加密金鑰(Key Encryption Key,KEK)的兩階段加密來完成。我們可透過 KMS(Key Management Service)使用自管金鑰取代預設的 KEK 參與資料加密,達到更深度的資料控管。
除了加密儲存資料,我們也能以 DLP(Data Loss Prevention)偵測接收資料的特定敏感內容,並搭配 KMS 服務加密。比如自動化偵測客戶的身份證字號,並使用 KMS 儲存的加密金鑰以 DLP De-Identify 服務加密,避免操作人員直接閱讀,並可在有需要時再透過 DLP Re-Identify 服務恢復至可閱讀狀態。
2 大企業愛用的 Google Cloud 資安架構上文介紹了 Google Cloud 常見的資安與網路服務,下面我們透過兩個範例來了解如何基於不同情境組合這些服務。以下兩個情境分別是封閉網路的雲地整合架構,與透過 BeyondCorp 資安模型建構的身份與情境感知架構。
雲地整合的封閉式資安架構在此範例中,我們假設情境為遠距辦公的員工透過 Client VPN 以公司內網登入雲端 ERP 系統,並上傳含有客戶機敏資料的檔案至雲端儲存空間(僅有特定人士可存取檔案或瀏覽該機敏資料內容)。而公司的形象網站也部署在雲端供外界存取。
▲雲地整合的封閉式資安架構圖
由上圖可知,整個架構避免了在雲端主機掛載外部 IP。雲端部署的服務分為對內與對外,對內流量直接透過地端以 Interconnect 從內網存取,並使用雲端防火牆控管;對外服務則使用 Global [HTTP(S)] LB 開放,並透過 Cloud Armor 阻擋已知的惡意流量來源並套用預設 WAF 規則。而儲存的機敏訊息可藉由 Cloud Function 以 DLP API 偵測並加密,進而儲存進 Cloud Storage 並增加 Folder 的 ACL 設置,允許特定員工存取檔案,而這些 Google Cloud 服務的呼叫皆可透過 Private Google Access 由地端內網執行。
基於情境感知的零信任資安架構有別於上面範例以封閉的網路環境實踐系統安全性,這裡我們觀察在同樣的遠距辦公情境中,如何透過 BeyondCorp 資安模型實踐 Zero Trust 的安全架構,讓用戶能透過網際網路直接安全地存取公司應用資源。
▲基於情境感知的零信任資安架構圖BeyondCorp 的核心訴求是讓用戶能不透過 VPN,直接以網際網路存取服務,而其中最重要的安全實踐是透過身份與情境感知判斷用戶存取權。如上圖,客戶 ERP 系統可直接透過 IAP 設置允許特定用戶存取網頁應用服務。而在雲端主機的維運存取上,也能透過 IAP TCP Forwarding ,在不提供外部 IP 的情況下直接以網際網路連線主機。
最後在 Google Cloud 服務的存取上,則透過 ACM 與 VPC SC 的組合限定服務存取範圍,使 Cloud Storage 與 DLP API 的使用被限縮在台灣,且僅允許特定的 Service Account 執行加密與上傳。
這次介紹了 Google Cloud 的 4 大資安服務與 2 種常見架構,但礙於篇幅還有許多實用的服務未提及。因此如還不清楚該如何配置自己的雲端環境,歡迎與我們聯繫,讓我們協助您規劃最合適且安全的雲端基礎架構!
關於 Cloud Ace
Cloud Ace 為亞洲據點最多的 Google Cloud 合作夥伴,擁有 12 項 Google 專業領域認證與超過 400 張的專業證照, 集團服務過全球超過 500 家企業。如有 Google Cloud 產品導入或客製化專案開發需求,歡迎與我們聯繫。
- Mail:marketing@tw.cloud-ace.com
- Phone:+886-2-2377-2766
- Facebook:Cloud Ace Taiwan
- 本文內容由 Cloud Ace 提供