【 東東老師 X 思想科技 】雲端的資訊安全防禦縱深,常用資安服務介紹(上)

GCP security blog banner

Google Cloud Platform (GCP) 的資安功能涵蓋甚廣,各有不同用途,首先從帳號安全開始,讓你還沒登入 GCP,帳號就已經受到保護; 接著開始觸碰到 GCP 的最前端,就有 DDoS 防禦、WAF 和入侵偵測功能; 在進入應用程式之前,會有嚴格的登入驗證和授權機制;若你的應用程式在 VPC 網路內,流量就會受到防火牆的控管,可疑封包也能納入分析; 應用程式不論是在 VM 或 Container,都可以對它們弱點掃瞄; 資料存取受到層層管制,確保不被輕易入侵、破解或外洩;整體環境還有其他獨立運作的監控機制和政策,讓你建立重重關卡,滴水不漏。

本文整理目前最常用並且「可以立即使用」的資安功能,從外部一直到 GCP 最深處,逐步介紹各個功能,讓你可以建立每一層的防禦工事。

一、帳號安全

(一)Cloud Identity

使用 GCP 之前,你至少要使用公司的帳號,而不是使用個人 Gmail,如果帳號有任何問題,例如無法登入或被駭,至少公司管理員還可以幫你處理,不會求助無門。Google Workspace 就是公司用的 Google 帳號,但是它還有 Gmail、日曆、雲端硬碟等等相關功能,不一定每家公司要先用 Google Workspace 才能用 GCP。

Google 有把帳號管理的功能抽出來,就是所謂的 Cloud Identity,即使公司使用 M365 或其他企業信箱,你可以建立公司的 Google 帳號,像這樣的格式:[email protected],依然可登入 GCP。

Google Cloud 帳戶安全- Cloud identity 中的兩步驟驗證
圖片來源:截圖自 Google 帳戶

Google 的帳號安全機制很多,像是最基本的「兩步驟驗證」功能,公司可以先「邀請」使用者自行啟用,如果使用者不配合,管理員可以「強制實施」,這樣一來,已事先啟用兩步驟驗證的使用者,可以正常登入 GCP。未啟用的使用者,就完全無法登入 GCP。確保使用者帳號密碼被盜,駭客還是拿不到驗證碼。

(二)Titan Security Key 安全鑰匙

針對非常重要的人員帳號,例如系統管理員或高階主管,還可以使用 Titan Security Key

Google Cloud 帳戶安全- Titan Security Key 安全金鑰圖
圖片來源:Google 官方部落格

長得有點像隨身碟,當你註冊金鑰到帳號中,以後兩步驟驗證的第二步驟,就可以插入金鑰來驗證,只要駭客沒有金鑰,就無法登入你的 Google 帳戶,就像一把真正的鑰匙在你手上,讓安全性大為提高。

二、攻擊防禦

(一)Load Balancer 負載平衡器

每分每秒,全世界有 60% 的網路流量會經過 Google,Google 也隨時在監控網路的各種攻擊流量,針對高流量的 DDoS 攻擊,Google 的 Load Balancer 就有內建防禦功能。像是知名遊戲廠商艾玩天地,也曾飽受 DDoS 之苦,後來把遊戲部署在 Compute Engine 上,前端採用 Load Balancer,就直接過濾掉所有 DDoS 的攻擊流量,提高玩家的遊戲體驗。另外 HTTP(S) Load Balancer 也有提供免費且自動更新的 SSL 憑證,幫你的應用程式在傳輸過程中進行 TLS 加密,降低資料被竊取的風險。 

🔗 延伸閱讀: 什麼是 Load Balancing? 如何使用它來提升網站效能?

(二)Cloud Armor

像艾玩天地碰到的是大流量攻擊,Google 容易偵測得到,但也有很多中小企業,網站流量不大,只要稍微碰到小幅度的攻擊,就足以讓整個網站癱瘓掉。因此可以再加上 Cloud Armor,是 DDoS 防禦和 WAF 功能的結合體。

在 Standard 方案底下,就已經內建基本的防禦功能,不需要再額外設定。你也可以再自訂各種防禦規則,最基本的規則例如來源 IP 黑白名單、來源國家、網路封包標頭 (Header) 過濾,以及有現成語法可用的 SQL Injection、XSS 語法,還有 OWASP (Open Web Application Security Project) 資安組織公佈的10大威脅,都可以直接複製貼上使用現成的語法。

Google Cloud 攻擊防禦 - 現成語法
圖片來源:截圖自 GCP Console

如果你確認主機平常流量不大,想提前預防突然升高的流量,可以設定 Throttle (節流) 或 Rate base ban (暫時停止服務),讓流量控制在一定的範圍之下。Cloud Armor 還有 Enterprise 版,有特別提供自適性防護 (Adaptive Protection) 的功能,它會建立機器學習的模型,來偵測異常活動,還能自己產生 WAF 規則來阻止潛在的攻擊。 

如果企業對於 DDoS 有極大的需求,可以在已經購買 Premium Support 的情況下,加購 Cloud Armor Enterprise,當攻擊發生,可以立即開立 DDoS 支援案件,讓 Google 專家立即協助阻斷。另外,攻擊時所輸出的流量費用,可以獲得未來 GCP 使用的抵免額度。

(三) Cloud IDS 入侵偵測系統 (Intrusion Detection System)

Cloud IDS 可以偵測到入侵、惡意軟體、C&C 命令和控制,它會建立一個對等網路 (Peered Network),然後將原本網路中的流量映射到對等網路,再利用業界知名的 Palo Alto 公司的技術來檢測威脅。再加上它是雲原生的,而不是像地端設備的複雜功能,設定很簡單,只要點幾下滑鼠就能部署該功能。不過要注意的是,Cloud IDS 只檢查進入 VM 或 GKE Pod 的流量,其他服務還沒納入檢測範圍。

三、登入驗證和授權

(一) Cloud IAM (Identity and Access Management)

當我們登入 GCP 時,系統就會立即檢察你的身份,以及你是否有足夠權限進入某個功能。我們也是在這裡統一管理所有人員和服務帳戶 (Service Account) 的權限角色,比較特別的是,權限可以設定「條件」,讓使用者只能在「特定時間」有權限,例如星期幾之前或之後、一天當中幾點之前或之後,或是存取權的有效期限。

Google Cloud 登入驗證和授權 - Cloud IAM condition builder
圖片來源:截圖自 GCP Console

現在 IAM 還能主動提供權限檢查,告訴你哪一個帳號似乎用了太大的權限,提醒你要調整,減少帳號被駭之後被破壞的範圍。

(二) Cloud IAP (Identity-Aware Proxy)

Cloud IAP 是一個非常神奇的功能,可以讓你非常安全地存取 GCP 的資源,包含 SSH 到 Compute Engine 的主機、遠端連線到 Windows、和透過 Load Balancer 存取網頁應用程式。以往都是透過 VPN 來連線,但是 VPN 只會管你從哪裡來,不會驗證你的身份,但是 Cloud IAP 會驗證你的身份,並且檢查你有沒有存取權限,才決定放行,所以在安全性上提高很多。

此外,Cloud IAP 幾年前剛推出時,設定比較麻煩,需要啟用 API,建立連線通道,授權使用者等等。但是現在除了原本的設定方式,也推出自動使用 IAP 的功能,以前如果要直接點擊 SSH 按鈕連線到你的主機,必須要讓防火牆規則,開放所有的 IP 來源的 Port 22,代表不是只有你,全世界的駭客都可以連到你的主機 Port 22。如果要安全地連,必須自己做 SSH Key,從本機 SSH 來連,然後設定防火牆只允許自家 IP,並且擋掉其他 IP,有點麻煩。而且如果 Key 被盜,任何持有 Key 的人都可以連進你的主機,你還不知道是誰進來搞破壞。

但是現在 Cloud IAP 讓你不用再做自己的 SSH Key了,你只要在防火牆允許 Cloud IAP 的 IP Range:35.235.240.0/20,不用 Allow 全世界的 IP,也不用 Allow 自家的 IP,只要 Allow GCP 的內部網段即可,實在是安全又方便。

📚 延伸閱讀:

🔗 【 東東老師 X 思想科技 】雲端的資訊安全防禦縱深,常用資安服務介紹(中)

🔗 【 東東老師 X 思想科技 】雲端的資訊安全防禦縱深,常用資安服務介紹(下)

最專業的技術團隊! 提供您最完善的技術教學和服務

歡迎您與我們聯絡
我們會協助您取得最佳解決方案!

Leave Us Your Message
We are ready to talk!

歡迎您與我們聯絡。
我們會協助您取得最佳解決方案!

Leave Us Your Message.
We are ready to talk!

找不到您需要的? 加入我們的最新活動!

搶先了解
新趨勢