Google云上的共同责任和共同命运|云架构中心
Google Cloud已将共同责任模式进一步推向了 共享命运模型。维护安全环境比以往任何时候都更加困难,因为云的灵活性允许用户犯可能导致数据泄露的错误。为了帮助客户安全地开始使用云,Google Cloud提供了一个 企业基金会蓝图 涵盖最高安全问题和建议,利用基础架构即代码自动部署环境并遵循默认原则的安全蓝图,具有安全最佳实践的体系结构框架,与专家联系以及最终着陆区的能力导航指南,以通过建立安全基础开始。
Google云安全最佳实践
云中的大多数安全漏洞是由于安全设置的错误配置。一旦您开始利用云所提供的所有细粒度限制,云中的安全性似乎比本地安全性更为复杂。Google的文档和蓝图可能是一个不错的起点。Google Cloud的学习页面提供了一些课程,可以帮助公司培训员工有关构建安全环境的最佳实践。
首先要开始的地方之一是讨论资源层次结构并应用最低特权原则。最终用户可以通过添加信用卡并创建项目来开始使用Google Cloud,但是对于企业而言,第一步是开始规划组织的资源结构。在组织之下,公司可以创建文 意大利电话号码列表 件夹和项目。项目是在其中部署和配置资源的容器。文件夹提供了一个可选的逻辑结构,可以帮助企业分离规则和权限。Google云身份和访问管理(IAM)规则是从上到下继承的。最佳做法是根据需要向用户提供尽可能少的权限,并尽可能靠近资源(VM,网络,数据库等)。例如,在文件夹级别具有更特定权限(例如项目级别上的创建/删除/启用)的读取/查看类型权限。
可见性和集中式日志记录与监视是强大安全姿态的另一个支柱。 Google Cloud提供了多种可以增强此功能的服务,例如云监控和云日志记录。云监视将监视公司的资源是否存在可疑活动和潜在的安全威胁,您可以设置警报。云日志记录使您可以从已部署的资源中收集和分析日志。数据甚至可以导入到BigQuery中进行其他分析。云日志记录可以从本机服务和资源中收集事件,并且可以通过利用操作代理从VM中收集日志和指标。
网络安全也是企业安全计划的关键方面。VM和应用程序需要一个网络才能与自身之外的任何事物进行通信。Google Cloud提供了虚拟私有云(VPC)网络供用户配置。VPC是一个虚拟化的物理网络,可为公司提供与Google Cloud中其他租户的完全隔离。客户在存在资源的项目或由网络团队控制的集中式项目中创建VPC。共享的VPC模型通常是一个更安全的选项,因为它允许专门的云网络团队设置环境的VPC,子网和防火墙策略,并允许应用程序团队从各自的项目中使用它们。Google Cloud提供了使用网络标签的选项,该网络标签可以与防火墙策略配对,以保护网络并确保网络上的VM仅能够在其允许的端口上与其相邻服务进行通信,这可以帮助减轻攻击者横向移动的情况。环境。Cloud Armor是另一项功能,可以用作Web应用程序防火墙(WAF)来保护面向公众的应用程序免受DDoS和基于网络的攻击。