當企業將資料上雲時,確保資訊安全是首要任務,由於雲端儲存可提供高度擴展和檢索大量數據等功能,可降低成本與營運負擔,是近年熱門的儲存方式。而 Google 擁有世界上最大的專用網路之一,在 Cloud Storage 也內建傳輸與靜態加密、加密金鑰管理等功能,以下四個方法能夠大大降低資料外洩的風險,達到保護企業機密的最佳安全實踐。
Cloud Storage四大資安保護
- 使用組織策略集中管理,並定義合規性邊界
Cloud Storage 與 Google Cloud 同樣都遵循資源分層結構,還能使用資料夾進一步區分 bucket 內的專案資源,遵循以下兩點建議可以增強安全防護:
- 限制分享
可防止將內容資訊分享給外部人員,若有人嘗試將 bucket 的內容經由公共網路傳輸出去,也能立即阻擋。
- Uniform bucket-level access 存取權限
簡化權限並協助管理大量的存取權,防止意外的的資訊曝光。
- 啟用 Cloud IAM 簡化存取控制
Cloud Storage 對於Bucket和檔案提供了兩種授權的方式,一種是 Cloud IAM 和 Access Control Lists (ACLs) ,若想存取某個資源,只要擁有其中一項權限即可完成。
授權個別 ACL 的單獨存取權隨著 bucket 的資料量增加,管理個別 ACL 的成本也會增長,要確保每個 bucket 中的所有資料難度更高。您可以想像一下,有天要查看單一使用者的訪問權限是否正確,隨著檔案數量的成長,檢查的困難度也會跟著提升。因此,我們建議使用 Cloud IAM 來控制對資源的存取,Cloud IAM 在 Google Cloud 應用中很廣泛,可統一管理 Cloud Storage 數據的存取控制,啟用本項功能時,在 bucket 層級中授予的權限會自動套用在 bucket 的所有資料。
- 如果無法使用IAM策略,請考慮使用其他替代方案來ACLs
Google Cloud 發現,客戶有時會因為其他理由繼續使用 ACLs,像是多雲架構或是分享資源給個別的用戶,但並不建議將終端用戶置於 ACLs上,可考慮以下替代方案:
- Signed URLs:提供一串連結,並且您可以再此連結設上一段訪問時間限制。
- Separate buckets:如果你分享的檔案都屬於同一個ACLs,建議歸納到一個Bucket中,並且授予Bucket-level權限即可。
- IAM conditions:如果您的應用在命名中使用共享前綴,則還可以根據這些前綴使用IAM條件來區分訪問。
- Delegation Tokens:可以使用 Security Token Service的方式授予Cloud Storage Bucket和共享前綴。
- 在服務帳戶中使用HMAC金鑰,避免用一般用戶帳戶
Hash-based message authentication key( HMAC) 是一種憑證,用於建立 Cloud Storage 的請求中包含的簽名。通常使用HMAC金鑰時我們會建議客戶使用的是服務帳戶(Service Account)取代個人帳戶(User Account),可有效防堵個人帳戶的安全疑慮,還能避免該員工離職而造成帳戶無法存取,降低企業機密資料中斷的風險。
為了進一步提高安全性,您也可參考下列建議:
- 定期更換金鑰。
- 授予服務帳戶完成任務的最小訪問權限(即最小特權原則)。
- 如果仍在使用 V2 簽署驗證(或已轉移到 V4 簽署驗證,這將自動實施最長一周的時間限制),請設置合理的簽名到期時限。
對企業而言,資料上雲已是趨勢,但資安仍是最關鍵的課題,其實只要雲端系統設定的安全性足夠,按照 Google Cloud 的建議指南,對企業營運效能會有顯著的提升。宏庭科技身為 Google Cloud 菁英合作夥伴,擁有專業架構師和維運團隊,能幫助企業免於資安威脅,成功數位轉型。
資料來源:Google Cloud Blog
