0x00 背景
Google在近期发布了《Trusting your data with Google Cloud Platform》的一纸禅内容,非常值得国内云厂商思考自身关于数据安全的体系构建方法论,笔者也从抛砖引玉角度抛出了在RSA期间看到的Google相关的安全趋势的简单解读。
0x01 一纸禅
Goolge Cloud Platform(后续简称GCP)为托管、服务客户和保护客户数据提供了一个非常高的标准,对于GCP来说安全和数据保护是设计和构建产品的基础。GCP能提供承诺客户拥有和控制自己的数据。客户在GCP系统上存储和管理的数据仅仅用于为该客户提供GCP服务,并使GCP服务更好的为客户服务,这些数据不会用于其他的目的和用途。
GCP拥有强大的内部控制和审计,以防止内部人员访问客户数据。GCP也提供给客户Google管理员近实时的访问日志,GCP是唯一提供访问透明(Access Transparency)的云厂商。除了持续的安全监控之外,默认情况下,存储在GCP中的所有数据在存储和传输的时候进行默认加密。客户也可以选择管理他们在GCP上的密钥,这一功能称为customer-managed encryption keys (CMEK)。
GCP可以让客户监控自身账号的活动。提供报告和日志,以便客户的管理员可以轻松检查潜在的安全风险、跟踪访问权限、分析管理员活动等等。另外组织中的管理员还可以使用Cloud Data Loss Prevention (DLP) 功能来保护敏感信息。DLP增加了一层额外的一层保护进而标识、防止敏感或者私有信息泄露到组织外部。另外客户的管理员还可以通过组织中的移动设备实施安全策略,加密设备上的数据以及远程执行擦除或锁定丢失或者被盗设备等操作。
另外,GCP还会进行第三方的审核认证,用以验证GCP数据保护实践是否符合给客户的承诺。例如,作为保护PII(保护个人身份信息)相关的标准ISO 27018,Google将会针对数据使用合法性和规范相关的一系列控制进行审核,确保PII不会被用于商业目的。Google讲继续投资安全、创新和运营流程,进而进化和发展GCP平台,使客户能够以安全透明的方式从GCP服务中受益。
0x02 云安全解读
Google的展台就展出了Cloud Identity和Cloud Armor从这点可以看得出来国外身份认证、DDoS、WAF需求最多;笔者觉得身份认证将会是下一个爆款产品;另外一个非常值得提的就是Azure Graph Security API服务;通过微软自身的安全产品Microsoft Cloud App Security、Azure Security Center、Azure AD Information Protection、Azure Information Protection、Windows Defender Advanced Threat Protection、Office 365、Intune以及生态合作伙伴的包括Palo Alto、illumio、LookOut、Contrast、Symantec等产品的告警、威胁情报、配置信息、安全分等来进行安全策略的下发,给到SIEM厂商Splunk、IBM Qradar、Sumologic进行处理,也可以发送到Microsoft的APP来进行响应和处理;
生态
生态集成Google生态跟WAF合作模式是Armor进行规则管理,云服务提供商的自身安全产品要跟生态找到最好的匹配模式,Google是提供了规则模型来进行阻断策略生态合作伙伴的WAF进行联动的策略,找到很好的平衡点;生态解决方案逐步清晰完整,云服务提供商需要布局混合云各层面的安全包括系统、网络、应用、数据安全方案:Google在RSA期间举办的会议邀请了几家合作伙伴MSSP(云上Hunting、检测服务、托管SIEM)、数据保护(因为AWS S3、Google Storage都存在一些安全问题,所以推出了混合云数据安全方案)、WAF、合规、漏洞扫描都非常贴近云上客户的真实需求;
无密码服务
不管是Google Moma(https://login.corp.google.com)还是Amazon的员工登录服务Midway-Auth(https://midway-auth.amazon.com/)都采用了FIDO的认证方式,FIDO登录方式增强了认证方式,可以阻止黑客入侵 Google 员工账号帐号。使用FIDO认证,Google员工可以享有两步验证机制的额外保护。目前Google员工都佩戴了FIDO USB硬件,这套无密码服务无缝的跟BeyondCorp进行联动,彻底解决了钓鱼等安全风险;
可见度
RSA2019创新沙箱的冠军是Axonius,属于资产管理的一家厂商,比较基础的安全能力,但是在RSA裁判的视角认为基础的资产管理能力是非常重要的,现在有太多的企业搞不清楚自身的资产到底有多少看不见的,这也就增加了攻击面;笔者也第一时间去了Axonius的展台,详细了解了针对AWS云上资产管理的功能,通过了解Axonius是通过AWS的Access ID和Access Key去遍历AWS所有Region的EC2资产信息、SLB信息等,进而通过Rapid7的资产管理API来获取Rapid7的所有信息,通过这两个信息的比对来判断AWS EC2的资产是否都经过了安全扫描;在云上做资产管理是有优势的,通过API接口可以快速的遍历出来云上所有的资产;
云基础设施安全
在参加Google的两天线下交流时候,被一张Secure By Design: Google Infrastructure Tour的墙面吸引;Google讲基础设施安全就四个点,一个是全球的数据中心所有数据都通过GFE和使用了安全的网线,第二个点是默认存储加密,所有Google Cloud Platform的产品使用默认存储加密策略、第三个点是Titan芯片所有物理机上都安装了Titan硬件芯片,作为硬件可信信任根,第四个点是数据中心安全主要是物理安全,进入数据中心需要生物识别和激光束入侵检测系统;
云平台服务提供商要根据自身的安全特点来对客户讲出最核心的安全能力,AWS的安全能力是基础设施安全、数据保护、身份标识、检测能力、应急响应;
Azure的安全能力是透明(对客户数据保持透明的策略和承诺保障)、隐私(用户可以很好的控制数据而Azure云平台不会去看敏感的数据)、合规(查看满足合规要求的产品、解决方案、证书)和安全(保证客户的数据安全)四个关键词;
0x03 参考
https://cloud.google.com/files/trusting-your-data-with-google-cloud-platform.pdf