Google Cloud Platform
Google Workspace
Google Map API
DigitalOceanBảo mật đám mây đã trở thành một trong những ưu tiên hàng đầu đối với các tổ chức và cá nhân khi sử dụng dịch vụ lưu trữ và xử lý dữ liệu trên nền tảng đám mây. Khả năng truy cập dữ liệu từ mọi nơi, tính linh hoạt, và khả năng quản lý dữ liệu dễ dàng đã tạo ra sự phổ biến của đám mây. Tuy nhiên, vấn đề bảo mật vẫn là một thách thức lớn cần được giải quyết một cách cẩn thận.
Cùng CloudAZ tìm hiểu về các công cụ Google Cloud Security, bao gồm KMS, IAM và StackDriver, đồng thời tìm hiểu các phương pháp hay nhất để bảo mật workloads của bạn trên GCP trong Blog tuần này!
Google Cloud Security là gì?
Giống như tất cả các nhà cung cấp đám mây lớn khác, Google Cloud Platform (GCP) thực hành bảo mật đám mây theo mô hình trách nhiệm chung (Shared Responsibility Model), yêu cầu cả nhà cung cấp đám mây và khách hàng triển khai các biện pháp bảo mật. GCP được yêu cầu phải bảo mật cơ sở hạ tầng của mình, trong khi người dùng đám mây phải bảo mật tài nguyên (resources), khối lượng công việc (workloads) và dữ liệu (data) trên đám mây của họ.
GCP triển khai các biện pháp bảo mật toàn diện, đảm bảo và duy trì tính bảo mật của cơ sở hạ tầng, bao gồm mã hóa tự động (automated encryption), xử lý dữ liệu an toàn (secure data disposal), liên lạc Internet an toàn (secure Internet communication) và triển khai dịch vụ an toàn (secure service deployment).
Để giúp người dùng bảo mật tài sản trên đám mây của họ, GCP cung cấp nhiều công cụ bảo mật tích hợp sẵn với các dịch vụ GCP, bao gồm các công cụ quản lý khóa (key management), quản lý danh tính và quyền truy cập (identity and access management), ghi nhật ký, giám sát, quét bảo mật, quản lý tài sản và tuân thủ.
Bảo Mật Đám Mây: Vì sao lại quan trọng?
Bảo mật đám mây là sự kết hợp của các biện pháp và quy trình được thiết kế để bảo vệ thông tin và dữ liệu quan trọng khi chúng được lưu trữ và xử lý trên các dịch vụ đám mây. Điều này đảm bảo rằng dữ liệu của người dùng và tổ chức không bị rò rỉ, không được truy cập trái phép và luôn ở trạng thái an toàn.
Tại sao bảo mật đám mây quan trọng:
- Bảo vệ Dữ liệu Nhạy Cảm: Đám mây lưu trữ nhiều thông tin quan trọng như dữ liệu khách hàng, tài liệu quan trọng, thông tin tài chính và nhiều dữ liệu nhạy cảm khác. Bảo mật đám mây đảm bảo rằng thông tin này không bị rò rỉ hoặc sử dụng sai mục đích.
- Tuân Thủ Quy Định Pháp Luật: Các tổ chức phải tuân thủ các quy định về bảo mật và quyền riêng tư. Bảo mật đám mây giúp đảm bảo rằng các quy định này được thực thi và tuân thủ đầy đủ.
- Xây Dựng Niềm Tin: Bảo mật đám mây là yếu tố quan trọng trong việc xây dựng niềm tin của khách hàng và đối tác. Người dùng sẽ tin tưởng hơn khi biết thông tin của mình được bảo vệ một cách tốt nhất.
8 Công cụ bảo mật nền tảng đám mây của Google
Google cung cấp một số công cụ có thể giúp bạn triển khai các biện pháp bảo mật cho khối lượng công việc của mình.
Google Cloud KMS
Google Cloud Key Management Service (KMS) cho phép bạn quản lý các khóa mật mã. Bạn có thể sử dụng KMS của Google để tạo, xoay vòng và hủy một số loại khóa mật mã, bao gồm AES256, RSA 3072, RSA 2048, RSA 4096, EC P384 và EC P256. Bạn có thể xoay các phím theo cách thủ công hoặc chọn tự động hóa quy trình.
Google Cloud IAM
Google cung cấp dịch vụ quản lý danh tính và quyền truy cập (IAM) để cung cấp cho bạn khả năng kiểm soát quyền truy cập chi tiết. Bạn có thể sử dụng IAM để chỉ định người dùng hoặc nhóm nào có thể có quyền truy cập vào tài nguyên đám mây. Bạn có thể chỉ định các vai trò, bao gồm vai trò nguyên thủy, được xác định trước và tùy chỉnh. IAM của Google tự động tạo các bản kiểm tra về việc ủy quyền và xóa quyền.
Google Cloud Identity
Google Cloud Identity cho phép bạn quản lý tính bảo mật của các ứng dụng và thiết bị đám mây của mình. Bạn có thể truy cập dịch vụ thông qua Bảng điều khiển dành cho quản trị viên của Google. Bạn cũng có thể sử dụng Cloud Identity để bật xác thực đa yếu tố và xác thực đăng nhập một lần.
Google Stackdriver
Google Stackdriver là dịch vụ giám sát được thiết kế cho các đám mây lai. Nó cung cấp nhiều khả năng khác nhau, bao gồm Ghi nhật ký Stackdriver, một dịch vụ được quản lý cho phép bạn quản lý và phân tích dữ liệu nhật ký. Ghi nhật ký Stackdriver đi kèm với API riêng và có thể nhập dữ liệu từ nhật ký tùy chỉnh. Bạn có thể sử dụng nhật ký Stackdriver cho nỗ lực quản lý và giám sát bảo mật của mình.
Google Access Transparency
Google Access Transparency cho phép bạn xem dữ liệu nhật ký gần như theo thời gian thực, cho biết lý do và thời điểm nhân viên CNTT nội bộ của Google truy cập vào môi trường của họ. Thông thường, nhân viên CNTT truy cập vào môi trường khi phản hồi các yêu cầu hỗ trợ hoặc khi cố gắng khôi phục sau khi ngừng hoạt động. Bạn có thể tích hợp dịch vụ này với Stackdriver Logging.
Google Cloud Security Scanner
Dịch vụ Google Cloud Security Scanner có thể phát hiện các lỗ hổng trong Google Kubernetes Engine (GKE), Google Computer Engine (GCE) và Google App Engine (GAE). Cloud Security Scanner cho phép bạn tạo, lên lịch, chạy và quản lý quá trình quét thông qua bảng điều khiển GCP. Máy quét có thể phát hiện nhiều lỗ hổng, chẳng hạn như chèn Flash, tập lệnh chéo trang (XSS) và nội dung hỗn hợp, cũng như các thư viện JavaScript (JS) lỗi thời hoặc không an toàn.
Google Cloud Resource Manager
Trình quản lý tài nguyên cho phép bạn quản lý và sắp xếp tài nguyên đám mây Google của mình. Bạn có thể sử dụng dịch vụ để quản lý các biện pháp kiểm soát quyền truy cập và chính sách IAM trên nhiều nhóm tài nguyên được sắp xếp theo tổ chức, thư mục hoặc dự án.
Google Cloud Compliance
Google cung cấp nhiều loại tài nguyên và dịch vụ mà bạn có thể sử dụng để duy trì sự tuân thủ trong tài nguyên toàn cầu và khu vực của mình. Bạn có thể sử dụng Google Anthos để thực thi các chính sách bảo mật và tuân thủ trên môi trường đám mây của mình. Ngoài ra, GCP hỗ trợ tích hợp với các dịch vụ của bên thứ ba.
5 phương pháp hay nhất về bảo mật đám mây của Google
Các phương pháp hay nhất sau đây có thể giúp bạn cải thiện tính bảo mật cho việc triển khai GCP của mình.
Hiển thị (Visibility)
Tài nguyên đám mây thường tạm thời và khó giám sát. Nghiên cứu chỉ ra rằng tuổi thọ trung bình của tài nguyên đám mây là 127 phút. Môi trường đa đám mây (Multi Cloud) và đám mây lai (Hybrid Cloud) làm phức tạp thêm cơ sở hạ tầng. Để đảm bảo khả năng hiển thị, bạn có thể tận dụng các dịch vụ giám sát và bảo mật đám mây của bên thứ nhất và bên thứ ba. Tìm kiếm các dịch vụ cho phép bạn triển khai các chính sách chi tiết trên tất cả các môi trường.
Hệ thống phân cấp tài nguyên (Resource Hierarchy)
GCP cho phép bạn xác định hệ thống phân cấp tài nguyên của riêng mình. Ví dụ: bạn có thể sắp xếp các thư mục, dự án và nhóm trong một tổ chức và gán quyền tương ứng. Mặc dù điều này mang lại mức độ linh hoạt cao nhưng nó cũng có thể dẫn đến sự lộn xộn. Để ngăn chặn sự phức tạp không cần thiết, hãy tạo một hệ thống phân cấp phù hợp với cấu trúc công ty của tổ chức bạn.
Ghi nhật ký và giám sát tập trung (Centralized Logging and Monitoring)
Bạn có thể triển khai ghi nhật ký và giám sát để đảm bảo tình trạng hoạt động của ứng dụng, đường dẫn và các quy trình khác nhau. Hệ thống ghi nhật ký và giám sát thu thập và phân tích dữ liệu cần thiết để theo dõi, lập hồ sơ và gỡ lỗi. Nếu bạn đang chạy nhiều môi trường, bạn nên triển khai giải pháp giám sát và ghi nhật ký tập trung để cung cấp cho bạn khả năng hiển thị tất cả nội dung.
Ghi nhật ký trên đám mây (Cloud Logging)
Để thu thập nhật ký, cung cấp thông tin chẩn đoán về tình trạng nội dung của bạn—bạn có thể sử dụng Cloud Logging, một dịch vụ GCP gốc. Cloud Logging tích hợp với phần lớn các dịch vụ GCP.
Nếu đang sử dụng các dịch vụ đám mây khác, chẳng hạn như Amazon Elastic Compute Cloud (EC2), bạn có thể cài đặt tác nhân ghi nhật ký tự động chuyển tiếp nhật ký từ EC2 sang Cloud Logging. Ngoài ra, Cloud Logging cung cấp một API có thể ghi nhật ký từ bất kỳ nguồn nào, kể cả các ứng dụng tại chỗ (on-premise).
Giám sát đám mây (Cloud Monitoring)
Để giám sát tài sản của mình, bạn có thể sử dụng Cloud Monitoring. Đây là một dịch vụ GCP gốc cho phép bạn có được thông tin về hiệu suất tổng thể và tình trạng cơ sở hạ tầng và ứng dụng của bạn.
Cloud Monitoring có thể nhập số liệu, siêu dữ liệu (metadata)và sự kiện. Sau đó, nó tạo ra thông tin chi tiết được hiển thị trong dashboards có thể tùy chỉnh. Bạn cũng có thể nhận được thông báo khi một số sự kiện nhất định xảy ra. Cloud Monitoring tích hợp với Cloud Logging, một loạt dịch vụ GCP và các bên thứ ba.
Cấu hình sai (Misconfigurations)
Nhiều vi phạm dữ liệu đám mây xảy ra do cấu hình sai. Dưới đây là một số phương pháp hay nhất bạn có thể triển khai để bảo vệ môi trường đám mây của mình:
- Liên tục quản lý các biện pháp kiểm soát quyền truy cập —để đảm bảo các quyền luôn phù hợp và được chỉ định theo vai trò hiện tại. Bạn có thể thực hiện việc này bằng cách giám sát các chính sách IAM để đảm bảo chúng được triển khai đúng cách.
- Thực thi nguyên tắc về đặc quyền tối thiểu —bạn có thể thực hiện việc này bằng cách chỉ cấp cho người dùng những quyền mà họ yêu cầu cho công việc của mình.
- Triển khai ghi nhật ký—để xác định các thay đổi trên môi trường đám mây của bạn và xác định mức độ sự cố.
- Tự động hóa nhiều nhất có thể —để đảm bảo bạn nhanh chóng phát hiện các lỗ hổng, cấu hình sai và các hoạt động trái phép.
Đặc quyền và phạm vi (Privilege and Scope)
IAM của Google cung cấp cho bạn khả năng kiểm soát truy cập chi tiết. Bạn có thể thực hiện việc này một cách hiệu quả bằng cách tạo nhóm người dùng và gán quy tắc cho từng nhóm. Đảm bảo nhóm của bạn được xác định rõ và chỉ những người dùng yêu cầu quyền truy cập mới được thêm vào. Bạn cũng có thể tạo vai trò tùy chỉnh để đảm bảo quyền chính xác nhất có thể.
Google Cloud Security Q&A
1. Google Bảo vệ Chống lại Tin tặc và những Kẻ xâm nhập khác như thế nào?
⇒ Google chủ động bảo vệ cơ sở hạ tầng đám mây của mình. Dưới đây là một số tính năng bảo mật đáng chú ý của GCP:
- Phần cứng tùy chỉnh (Custom hardware): GCP kiểm soát trung tâm dữ liệu của riêng họ, bao gồm toàn bộ ngăn xếp phần cứng. Điều này cho phép họ phản ứng nhanh chóng với các mối đe dọa. GCP triển khai một hệ điều hành và hệ thống tệp cứng tùy chỉnh, mỗi hệ thống được tối ưu hóa cho hiệu suất và bảo mật.
- Mã hóa (Encryption): GCP mã hóa dữ liệu trong quá trình truyền khi dữ liệu di chuyển giữa cơ sở hạ tầng GCP và khách hàng GCP. Dữ liệu cũng được mã hóa khi di chuyển giữa các trung tâm dữ liệu GCP và khi dữ liệu ở trạng thái nghỉ trong các dịch vụ của GCP.
2. Tôi nên làm gì nếu Dự án Google Cloud của tôi bị xâm phạm?
⇒ GCP, giống như tất cả các nhà cung cấp đám mây, hoạt động theo mô hình trách nhiệm chung (shared responsibility model). GCP chịu trách nhiệm bảo mật cơ sở hạ tầng và người dùng đám mây chịu trách nhiệm bảo mật các dự án của họ. Nếu dự án của bạn đã bị xâm phạm, bạn có thể thực hiện các bước sau:
- Dừng lại
- Thông báo —tác động đến tất cả người dùng để cho họ biết lý do dịch vụ ngừng hoạt động.
- Xác định —nguồn gốc của lỗ hổng. Bạn có thể thực hiện việc này bằng cách phân tích hành vi của phiên bản và phần mềm mà phiên bản đó chạy.
- Cập nhật—kiểm tra để đảm bảo phần mềm của bạn được cập nhật.
- Kiểm tra phần mềm của bạn để tìm các lỗ hổng đã biết và triển khai các bản vá bảo mật mới nhất.
- Áp dụng các biện pháp bảo mật mở rộng để đảm bảo dự án của bạn không bị xâm phạm.
- Cài đặt lại —sau khi hoàn thành tất cả các bước kiểm tra, hãy cài đặt lại hoàn toàn dự án của bạn.
3. Làm cách nào để chặn tài khoản người tiêu dùng truy cập Google Cloud Console trên mạng của tôi?
⇒ Bạn có thể sử dụng Google Workspace hoặc miền được quản lý để thực thi proxy web hạn chế quyền truy cập vào bảng điều khiển GCP.
Bạn có thể theo dõi một số bài viết khác của CloudAZ như:
- Tối Ưu Hóa Autoscaling trong Google Cloud Platform (GCP)
- Các bước tối ưu chi phí hiệu quả trên Google Cloud Platform
