谷歌知道,如果企业想要把他们的关键服务转移到它的云上,那么它必须提供一些AWS没有提供的东西。在谷歌Cloud Next上,该公司的领导层证明谷歌云是最安全的云。
在本周的会议上,谷歌公布了一些工具,这些工具可以让IT团队提供对应用程序的细粒度访问,更好地管理加密密钥,并对运行在谷歌云上的应用程序执行更强的认证机制。虽然谷歌只是在GCP的密钥管理系统上追赶Amazon,但它在防止数据泄漏API方面进入了一个未知的领域,它为管理员提供了超越基础设施的工具来保护单个应用程序。谷歌解决身份访问管理问题的方式与Amazon不同,企业需要自己决定采用哪种方式。
谷歌显然是在寻找安全,以从其他云基础设施提供商中脱颖而出的方式。它不保护仅底层硬件和虚拟机;它会保护他们运行的应用程序了。
无处不在保护敏感数据
DLP API现在处于测试阶段,它可以让IT团队识别并编校任何可能在GCP上运行的应用程序中的敏感信息。DLP技术执行深度内容分析,查找包含40多种敏感数据类型的列表中的匹配项,例如信用卡和帐号或联系信息,并让管理员决定如何最好地保护这些信息。的截图博客中宣布了新的安全功能节目DLP API如何重新编辑文档中的信息,比如一个人的姓名,电子邮件地址和手机,社会保障和信用卡号码。
管理员可以决定适用于每种数据类型的保护级别。使用OCR,管理员还可以管理存储在图像和文本中的内容。
对于谷歌的关键区别是,对于GCP DLP API是DLP的一个Gmail的扩展,最初是在2015年推出的,用于DLP驱动,在1月份宣布了。三个工具组合使IT管理员能够能够一致地管理所有的敏感数据平台的写入策略:存储在硬盘上的云计算基础架构上运行的应用,存储在Gmail邮件和文档。
谷歌正在为企业提供安全工具,保护其云中运行的应用程序的数据。亚马逊,而它已经投资了数据保护,一直专注于服务器和块存储级别。
控制谁可以访问应用程序
目前,想要控制对应用程序访问的IT团队依赖于vpn,但这往往是一种全有或全无的方法。拥有有效VPN凭据的用户可以访问所有应用程序。应用更细粒度的访问控制一直是一个挑战,当员工总是在不受信任的网络上移动和工作时,VPN就变成了一种效率低下的访问管理方法。
这就是身份感知代理(IAP),还处于测试阶段,进来的,因为它可以让IT团队从VPN模型转变为一个风险评估为每个应用程序。管理员指定哪些身份的组可以访问哪些应用程序,所以只有经过授权和认证的用户被授予访问在谷歌云运行IAP保护的应用程序。
IAP是BeyondCorp框架的一个元素,BeyondCorp是谷歌内部开发的企业安全模型,其目的是让员工在不受信任的网络上工作,而不用担心VPN。用户将web浏览器指向internet可访问的URL来访问受IAP保护的应用程序,IAP将处理身份验证过程来验证身份。
谷歌正从一个不同于Amazon及其AWS身份和访问管理服务的方向来解决身份问题。虽然AWS IAM允许管理员控制对AWS服务api和特定资源的访问,并允许通过AWS Active Directory管理用户和组,但它不像谷歌计划的IAP那样,为单个应用程序提供相同级别的保护。谷歌与SKE所提供的服务与亚马逊AWS IAM的账户访问功能和Cognito的应用集成功能之间有一些重叠之处。
“有了这套公告,GCP是一个组织使用云服务中确保个人如何后。AWS与在公告个别行项目有些重叠,但他们的目标是一个非常不同的使用情况下,”布莱恩·弗莱明,高层云说建筑师在装甲。
云中的强制性双因素身份验证
SKE(安全密钥执行)的GCP和G套房,现在全面上市,让IT团队要求所有用户在安全密钥打开因为每当他们签署为G套房或访问谷歌的云平台资源两步验证因素。
直到最近,用户还可以在个人层面决定是否使用硬件密钥(比如Yubikey)作为两步验证的一部分。使用用于GCP的SKE, IT管理员现在可以强制执行它,从而向云工作负载添加安全身份验证层。
IAP可与安全密钥集成,以阻止网络钓鱼,以及。
完善其云投资
如果在云下的通知听起来很熟悉,这是因为谷歌在今年早些时候加入这些企业级工具与G套房。该DLP和SKE双双加入到这一事实G组曲一月重申谷歌的云安全战略。在很多情况下,谷歌是它自己在谷歌云上的客户:它推出了针对G Suite和Gmail的安全工具,然后将它们提供给使用GCP的企业。
云安全是一个共同的责任,供应商专注于数据中心的物理安全和保护硬件,企业负责应用程序和数据。谷歌通过提供安全访问、加密内容和防止云内敏感数据泄漏的工具来转移话题。对于那些想知道“我为什么要相信您来运行我最关键的应用程序?”这些工具可能就是答案。
这篇文章《谷歌试图在云安全上击败AWS》最初由信息世界 。