Google Cloud Security: 8 Công cụ bảo mật nền tảng đám mây của Google

 

Google Cloud Platform (GCP) thực hiện bảo mật đám mây theo mô hình trách nhiệm chung, yêu cầu cả nhà cung cấp đám mây và khách hàng thực hiện các biện pháp bảo mật. GCP thực hiện các biện pháp bảo mật toàn diện để đảm bảo và duy trì tính bảo mật của cơ sở hạ tầng, bao gồm mã hóa tự động, xử lý dữ liệu an toàn, giao tiếp Internet an toàn và triển khai dịch vụ an toàn. Để giúp người dùng bảo mật tài sản đám mây của họ, GCP cung cấp nhiều công cụ bảo mật tích hợp nguyên bản với các dịch vụ GCP, bao gồm các công cụ để quản lý khóa, quản lý danh tính và quyền truy cập, ghi nhật ký, giám sát, máy quét bảo mật, quản lý tài sản và tuân thủ. CÙng tìm hiểu các công cụ bảo mật hữu ích!

I – Cơ sở hạ tầng đám mây của Google được bảo mật như thế nào?

Trước khi chúng ta đi sâu vào các công cụ mà Google cung cấp để giúp bạn bảo mật khối lượng công việc của mình, hãy xem cách Google bảo mật cơ sở hạ tầng cốt lõi của mình.

1. Triển khai dịch vụ an toàn

Google sử dụng các biện pháp khác nhau để bảo mật cơ sở hạ tầng của họ. Dưới đây là các biện pháp kiểm soát bảo mật chính được triển khai để triển khai dịch vụ an toàn:

  • Xác thực và ủy quyền bằng mật mã: được áp dụng ở cấp ứng dụng cho tất cả các giao tiếp giữa các dịch vụ. Tính năng này cung cấp khả năng kiểm soát truy cập chi tiết.
  • Danh tính tài khoản dịch vụ: được liên kết với bất kỳ dịch vụ nào chạy trên cơ sở hạ tầng đám mây của Google. Dịch vụ phải sử dụng thông tin đăng nhập mật mã của nó để nhận hoặc thực hiện các lệnh gọi thủ tục từ xa (RPC) tới các dịch vụ khác hoặc tự nhận dạng với khách hàng.
  • Phân đoạn và tường lửa: Cơ sở hạ tầng đám mây của Google được bảo vệ bởi tường lửa và sử dụng tính năng lọc đi vào và đi ra tại các điểm giao cắt mạng quan trọng, để ngăn chặn việc giả mạo IP.

2. Các biện pháp bảo vệ khỏi các cuộc tấn công truy cập đặc quyền

Google thiết kế cơ sở hạ tầng với tính bảo mật. Điều này bao gồm các biện pháp bảo vệ chống lại các cuộc tấn công truy cập đặc quyền bắt nguồn từ trình siêu giám sát, hình ảnh hệ điều hành (OS) hoặc bộ nạp khởi động. Ví dụ: Google sử dụng các thành phần khác nhau từ các nhà cung cấp khác nhau, tất cả đều được lựa chọn cẩn thận, trong cơ sở hạ tầng của mình, để đảm bảo an ninh.

3. Tính năng hủy bỏ dữ liệu

Google cung cấp khả năng xử lý dữ liệu, thường xuyên thực hiện xóa hợp lý toàn diện các đĩa liên tục và các thiết bị lưu trữ khác. Sau khi các đĩa được xóa sạch, việc kiểm tra sẽ diễn ra sau đó, thường do một cá nhân được ủy quyền thực hiện. Tất cả các quá trình được ghi lại và lưu trữ cùng với các kết quả liên quan. Vào cuối quá trình, tất cả các trình điều khiển đã xóa có thể sử dụng được sẽ được gửi để sử dụng lại và các đĩa bị hỏng sẽ bị gỡ bỏ. Ngoài ra, các cơ sở xử lý dữ liệu phải trải qua cuộc kiểm tra hàng tuần.

4. Mã hóa dữ liệu

Google cung cấp mã hóa cho dữ liệu ở trạng thái nghỉ và chuyển tiếp. Quá trình này được tự động hóa và không cần sự can thiệp của người dùng. Ví dụ, AES-256 là một quá trình mã hóa các đĩa liên tục bằng cách sử dụng khóa thông thường và khóa chính. Google quản lý tất cả các khóa và vòng quay của quá trình này.

5. Giao tiếp Internet an toàn

Google Front End (GFE) là một dịch vụ cơ sở hạ tầng đảm bảo các dịch vụ có sẵn trên Internet. GFE đảm bảo rằng các kết nối TLS sử dụng đúng chứng chỉ và tuân theo các phương pháp hay nhất, đồng thời cũng bảo vệ chống lại các cuộc tấn công Denial of Service (DoS).

6. Bảo mật hoạt động

Dưới đây là một số biện pháp bảo mật hoạt động do Google thực hiện và triển khai:

  • Nguồn dữ liệu: tích hợp tín hiệu mạng từ các dịch vụ giám sát, cơ sở hạ tầng và tín hiệu dựa trên máy chủ lưu trữ trên các thiết bị riêng lẻ.
  • Phân tích học máy: phân tích dữ liệu và cung cấp cho nhóm Google cảnh báo về các sự cố có thể xảy ra.
  • Điều tra: Người ứng phó sự cố của Google chịu trách nhiệm ưu tiên cảnh báo, điều tra các sự kiện và ứng phó với các sự cố tiềm ẩn. Họ hoạt động 24/365 và tiến hành các bài tập của Blue Team/Red Team để cải thiện thực tiễn hoạt động.

II – 8 công cụ bảo mật nền tảng đám mây của Google

Google cung cấp một số công cụ có thể giúp bạn triển khai các biện pháp bảo mật cho khối lượng công việc của mình.

1. Google Cloud KMS

Google Cloud Key Management Service (KMS) cho phép bạn quản lý các khóa mật mã. Bạn có thể sử dụng KMS của Google để tạo, xoay và phá hủy một số loại khóa mật mã, bao gồm AES256, RSA 3072, RSA 2048, RSA 4096, EC P384 và EC P256. Bạn có thể xoay các phím theo cách thủ công hoặc chọn tự động hóa quy trình.

2. Google Cloud IAM

Google cung cấp dịch vụ quản lý danh tính và quyền truy cập (Identity and Access Management – IAM) cung cấp cho bạn khả năng kiểm soát truy cập chi tiết. Bạn có thể sử dụng IAM để chỉ định người dùng hoặc nhóm nào có thể có quyền truy cập vào tài nguyên đám mây. Bạn có thể chỉ định các vai trò, bao gồm nguyên thủy, xác định trước và tùy chỉnh. IAM của Google tự động tạo các dấu vết kiểm tra về việc cấp phép và xóa.

3. Google Cloud Identity

Google Cloud Identity cho phép bạn quản lý bảo mật của các ứng dụng và thiết bị đám mây của mình. Bạn có thể truy cập dịch vụ thông qua Bảng điều khiển dành cho quản trị viên của Google. Bạn cũng có thể sử dụng Cloud Identity để bật xác thực đa yếu tố và xác thực đăng nhập một lần.

4. Stackdriver Logging

Google Stackdriver là một dịch vụ giám sát được thiết kế cho các đám mây lai. Nó cung cấp nhiều khả năng khác nhau, bao gồm Stackdriver Logging, là một dịch vụ được quản lý cho phép bạn quản lý và phân tích dữ liệu nhật ký. Stackdriver Logging đi kèm với API riêng và có thể nhập dữ liệu từ các bản ghi tùy chỉnh. Bạn có thể sử dụng nhật ký Stackdriver cho các nỗ lực quản lý và giám sát bảo mật của mình.

5. Google Access Transparency

Google Access Transparency cho phép bạn xem dữ liệu nhật ký gần thời gian thực, dữ liệu này cho biết lý do và thời điểm nhân viên CNTT nội bộ của Google truy cập vào môi trường của họ. Thông thường, nhân viên CNTT truy cập vào môi trường khi phản hồi các yêu cầu hỗ trợ hoặc khi cố gắng khôi phục sau sự cố ngừng hoạt động. Bạn có thể tích hợp dịch vụ này với Stackdriver Logging.

6. Google Cloud Security Scanner

Dịch vụ Google Cloud Security Scanner có thể phát hiện các lỗ hổng trong Google Kubernetes Engine (GKE), Google Compute Engine (GCE) và Google App Engine (GAE). Cloud Security Scanner cho phép bạn tạo, lên lịch, chạy và quản lý các lần quét thông qua bảng điều khiển GCP. Máy quét có thể phát hiện nhiều lỗ hổng, chẳng hạn như chèn Flash, tập lệnh trang web chéo (XSS) và nội dung hỗn hợp, cũng như các thư viện JavaScript (JS) lỗi thời hoặc không an toàn.

7. Google Cloud Resource Manager

Google Cloud Resource Manager cho phép bạn quản lý và tổ chức các tài nguyên trên đám mây của Google. Bạn có thể sử dụng dịch vụ để quản lý các kiểm soát truy cập và chính sách IAM trên nhiều nhóm tài nguyên, được sắp xếp thành tổ chức, thư mục hoặc dự án.

8. Google Cloud Compliance

Google cung cấp nhiều loại tài nguyên và dịch vụ mà bạn có thể sử dụng để duy trì sự tuân thủ trong các tài nguyên toàn cầu và khu vực của mình. Bạn có thể sử dụng Google Anthos để thực thi các chính sách tuân thủ và bảo mật trên môi trường đám mây của mình. Ngoài ra, GCP hỗ trợ tích hợp với các dịch vụ của bên thứ ba.