Google預計在6月15日於台灣舉辦Google Cloud Security Summit Recap: Taiwan安全性高峰會,同時也說明如何藉由旗下技術確保雲端服務使用安全。
依照說明,Google分別透過保護軟體供應鏈、採用零信任架構、雲端管理,以及改善安全性作業四大面向,藉此確保雲端服務安全。
其中,Google針對開放原始碼軟體 (Open Source Software, OSS)供應鏈進行合作,針對越來越多網路攻擊鎖定開放原始碼軟體的情況,進一步加強安全防護措施,其中包含透過模糊程式碼處理550個最常被使用的開放原始碼專案,截至今年1月底已經挖掘超過36000個安全漏洞。
而配合Assured Open Source Software (Assured OSS)服務,更能協助企業或公家機構所使用開放原始碼軟體進行掃描、分析,並且進行模糊測試,藉此挖掘潛在安全漏洞,本身以雲端原生服務形式建構,並且相容容器化、物件分析對應增強型中繼資料,同時也符合SLSA規範驗證規格,而此項服務預計會在今年第三季推出預覽版本。
此外,在Google Cloud雲端服務結構採用零信任設計,亦即所有資料存取、服務使用都必須經過嚴格身分或權限驗證,而Google也提供BeyondCorp Enterprise Essentials解決方案,協助企業將零信任設計套用在旗下雲端服務,同時此項服務也已經與Chrome瀏覽器整合,方便企業使用者透過Chrome瀏覽器在零信任架構下安全存取內部資料,IT管理人員亦可透過Chrome資訊主頁確保未受管理裝置是否進行不正常存取行為。
BeyondCorp Enterprise應用程式聯接器與用戶端連接器預計在今年第三季推出,方便企業可在無須變更防火牆或VPN設定情況下,即可正常連接服務,同時也能跨連微軟Azure或亞馬遜AWS等其他公有雲環境服務,至於用戶端連接器則可藉由零信任機制,存取託管於地端部署,或是其他雲端平台的非HTTP複雜型用戶端應用程式。
其他部分,則包含改善Google Cloud雲端環境安全,並且加入可自訂偵測安全機制,例如90天未更換Cloud Key Management Service (Cloud KMS)加密金鑰,就會觸發安全健康度警告,同時在超過一定時間仍未更換,系統就會產生偵測結果。另外,使用者亦可透過Event Threat Detection針對不同情況設定觸發偵測條件,並且在觸發偵測後產生通報結果作為證據。
Google接下來將推出多項支援聯邦風險與授權管理計畫 (FedRAMP)中級,以及聯邦風險與授權管理計畫 (FedRAMP)高級標準的全新服務,預計提供美國公家機構,以及民間承包商使用,接下來也會推出更多服務,讓受規範的用戶也能使用Google Cloud超大規模雲端服務優勢。
而針對美國公家機構提供的Autonomic Security Operations (ASO)解決方案,將符合美國第14028號行政命令,以及行政管理和預算局M-21-31備忘錄的目標及要求。
配合Google Chronicle的情境感知偵測功能,將可更快偵測配置管理資料庫 (Configuration Management Database, CMDB)、身分與存取權管理 (Identity and Access Management, IAM),以及資料遺失防護 (Data Loss Prevention, DLP)等情況,而新推出的Siemplify SOAR則可協助安全團隊從傳統安全性作業中心升級,並且可透過模組化讓客戶打造出現代化的安全性作業機制。
同時,Google也將推出Apigee Advanced API Security公開預覽版本,協助避免API配置錯誤,以及不良機器人偵測情況,藉此降低配置出現安全漏洞情況,並且可在API配置錯誤,或是遭濫用情況下自動回報,讓管理團隊可以更快識別。
