【 東東老師 X 思想科技 】雲端的資訊安全防禦縱深,常用資安服務介紹(下)

承接上一篇 【 東東老師 X 思想科技 】雲端的資訊安全防禦縱深,常用資安服務介紹(中)所介紹到的 Google Cloud VPC 網路安全機制、應用程式的資安功能、資料存取,我們終於來到了最後一篇講解資安整體的安全控制。

七、整體安全控制

(一)Cloud Logging

Cloud Logging 會收集整個 GCP 環境所有的 Log,不管是 Project Level 還是 Organization Level 的 Log,集中顯示在專屬的 Logs Explorer 中,並且分門別類,依照時間排序,也可以使用語法查詢。預設會記錄所有的管理員操作 (Admin Activity),例如「是誰開了一台大機器卻忘了關?」和系統事件 (System Event),例如「主機什麼時候發生異常,Google 幫你重開機器?」。

Google Cloud 整體安全機制 Cloud Logging
圖片來源:截圖自 GCP Console

如果你的 Web Server 想要收集 Log,也可以安裝 OPs Agent 將應用程式的 Log 送到 Cloud Logging,這樣如果主機當機進不去,你也可以從 Cloud Logging 看到主機到底發生了什麼事。如果你希望 Google 技術人員幫你 Troubleshooting 的時候也有記錄,可以選用開啟 Access Transparency Log,確認 Google 的人員連線到你 GCP 專案的記錄。

另外,大部分資料存取的 Audit Log 預設是不開啟的,因為這種 Log 可能無時無刻都在發生,資料量非常大,有需要再開,例如要監控是否有不正常的存取行為時,可以開起來收集記錄,很適合用來抓小偷,因為這裡的 Log 是無法刪除的。你也可以因應法規需求,將 Log 設定更長的保存期限,或是匯出到其他地方永久保存。

(二)Beyond Corp

Beyond Corp 是 GCP 的資安框架,主打「零信任」,代表任何來源未經正常的驗證程序,都先視為「不信任」。它包含前面提到的 Cloud IAP,和接下來這兩個重要功能:

1.Access Context Manager

這是用來設定所謂的「Access Level」存取層級,用更白話的方式講,就是一種存取的條件或情境,或是用戶端的屬性,例如用戶是從哪一個 IP 或國家過來存取的,而 Beyond Corp 的 Enterprise 版本還提供「裝置是否經過認證」。

而上述的各種條件,可以組合成不同的層級,例如 “Basic” 指的是基層員工、”High” 代表高階主管,也可以設定一個 “Office” 代表從公司的 IP 位址去連到 GCP 的人員。

2. VPC Service Control

當我們設定好「條件」之後,這裡就要來設定「動作」,就是要「允許」還是「拒絕」存取「某個服務或資源」。如上述我們設定一個 “Office” 的層級,裡面只設定辦公室的 IP 位址。然後在這裡設定專案 “dong-dong-gcp-3” 裡所有服務都納入「保護」,就代表符合 ”Office” 的人 (IP 在辦公室的人),都可以存取 “dong-dong-gcp-3” 專案所有的服務。反過來說,不符合 ”Office” 的人 (IP 不在辦公室的人),都無法存取,如下圖。

Google Cloud 整體安全機制 VPC service control
圖片來源:截圖自 GCP Console (測試截圖)

你可以看到,因為只有 “dong-dong-gcp-3” 被納入保護,所以當我切換成 “dong-dong-gcp-2” 時,該專案沒有納入保護,所以不管 IP 位址是否在辦公室,都不會影響存取。其實 Service Control 的使用範圍相關廣泛,除了專案,也可以將專案中某個 VPC 網路納入保護,還能定義服務邊界 (Service Peremeter),讓邊界外的來源不能進來存取,或是不能把資料帶出邊界。是除了防火牆之外,另一個獨立運作的存取控制功能。

(三)Cloud Security Command Center (簡稱 SCC)

它可以視為資安中心的角色,能夠隨時掃描整個 GCP 環境的資源,將檢測結果集中顯示在統一的頁面上一目了然。免費的標準版除了先前提到的 Web Security Scanner,還包含以下服務:

1. Security Health Analytics

自動檢查資安漏洞和錯誤設定,例如 IAM 授權給外部人員、太過開放的防火牆規則等等。

Google Cloud 整體安全機制 Cloud Security Command Center 測試截圖
圖片來源:截圖自 GCP Console (測試截圖)

2. Security Command Center errors

如果有任何設定錯誤的地方,導致 SCC 無法正常運作,它會產生錯誤訊息來提示你。

3. Continuous Exports

可以自動把新發現的檢查測果傳到 Pus/Sub,讓你可以整合資訊到其他應用上。

4. GKE security posture dashboard findings

可以查看 GKE 目前是否有設定錯誤的地方、容器作業系統和程式語言套件的漏洞等等。

5. 整合 Forseti Security

這是 GCP 開放源始碼的各種工具,可以和 SIEM (Security Information and Event Management) 整合。

6. Sensitive Actions Service

監控管理員的活動是否會傷害業務運作,再把結果寫到 SCC,再讓使用者確認該行為是否真的有害。SCC 目前還有 Premium 和 Enterprise 版本,提供更完善的功能,後續將再專門介紹三個版本的細節和差異。

(四)Organization Policies 機構政策

Org Policies 可以針對全公司所有的資源,統一控管存取的政策,例如 VM 是否可以使用外部 IP、哪個專案的 Image 可以拿來建立 VM、哪個專案不能建立 Service Account 或 Key、哪個專案不能在瀏覽器使用 SSH 連線等等。

Google Cloud 整體安全機制- Organization Policies 政策套用層級
圖片來源:截圖自 GCP 官方文件(Organization Policy 套用層級)

你可以在 Org 層級設定好,套用到底下所有的資料夾和專案,你也可以在資料夾或專案層級覆寫 (Override),設定不一樣的政策,在管理上非常靈活。

最後整理本文提到的所有資安服務如下圖:

Google Cloud 常用資安功能
圖片來源:自行繪製

其中灰色字體為一般 GCP 服務,黑色字體為資安服務,粗體代表不同層級或類別,各個服務之間的關係用箭頭表示,但不代表嚴謹的架構邏輯,僅為示意。由此可知,GCP 的資安功能強大且完善,讓你可以用好用滿,遠離威脅。未來會再針對個別服務撰寫專門的文章來深入介紹,讓各位可以立即上手。

📚 延伸閱讀:

🔗 【 東東老師 X 思想科技 】雲端的資訊安全防禦縱深,常用資安服務介紹(上)

🔗 【 東東老師 X 思想科技 】雲端的資訊安全防禦縱深,常用資安服務介紹(中)

最專業的技術團隊! 提供您最完善的技術教學和服務

歡迎您與我們聯絡
我們會協助您取得最佳解決方案!

Leave Us Your Message
We are ready to talk!

歡迎您與我們聯絡。
我們會協助您取得最佳解決方案!

Leave Us Your Message.
We are ready to talk!

找不到您需要的? 加入我們的最新活動!

搶先了解
新趨勢