Google Cloud: 5種增強云存儲安全性和數據保護的方法

云存儲是許多現代企業(yè)的基礎技術，可幫助存儲大量數據，用戶可以輕松訪問和使用這些數據來支持現代數據項目。

對于每種Google Cloud產品而言，安全始終是重中之重。默認情況下，Cloud Storage通過豐富的安全控制和審核能力來保護數據。讓我們看一下Cloud Storage中可用的一些新安全功能。

云存儲安全性的新增功能

Cloud Storage的V4簽名支持

GA(Google Analytics)目前已推出Cloud Storage的V4簽名支持。V4簽名功能使客戶能夠生成具有有限權限和持續(xù)時間的簽名URL(也稱為預簽名URL)，他們可以將其發(fā)布給不需要Google身份的客戶/用戶?；诤灻纳矸蒡炞C(尤其是通過簽名的URL)是一種非常常見的安全措施，用于內容存儲和交付，SaaS平臺和應用程序以及分析(企業(yè)數據倉庫和分析管道)。

Cloud Storage服務帳戶的基于哈希的消息身份驗證(HMAC)

可以管理和使用與Cloud Storage服務帳戶(而不是用戶帳戶)關聯的基于哈希的消息身份驗證(HMAC)憑據。此功能無需依賴與用戶帳戶綁定的憑據，從而增強了身份驗證和安全性。此功能還可以在安全性，身份驗證設置和實踐方面在多個云供應商之間無縫地互操作。

對Cloud IAM的統一存儲分區(qū)級訪問

Cloud Storage對Cloud Identity and Access Management(Cloud IAM)的支持，能夠按角色將訪問策略應用于Cloud Storage用戶以及其他Google Cloud產品。新的統一存儲分區(qū)級訪問功能可以通過Cloud IAM策略統一配置對Cloud Storage資源的訪問，從而實現大規(guī)模的可管理性。啟用存儲分區(qū)級訪問后，只有存儲分區(qū)級的Cloud IAM權限才授予對該存儲桶及其包含的對象的訪問權限。

將云存儲安全最佳實踐付諸實踐

保護企業(yè)存儲數據需要提前考慮以保護數據免受新的威脅和挑戰(zhàn)。以下是使用這些新功能并幫助防止數據泄漏或黑客入侵的五個建議：

1。打開統一存儲分區(qū)級訪問權限及其組織策略

通過Cloud Storage統一存儲分區(qū)級訪問，可以為存儲分區(qū)配置和實施統一的Cloud IAM策略。啟用此功能還可以確保免受任何對象級ACL的侵害，這成為管理訪問(尤其是大規(guī)模訪問)的挑戰(zhàn)。此功能還提供了一種組織策略，如果需要，可以使用該策略在所有新存儲分區(qū)上強制使用統一的IAM訪問策略。在存儲分區(qū)級別執(zhí)行IAM策略可以幫助防止意外公開，如果用戶將單個對象公開，則在沒有此功能的情況下可能會發(fā)生這種情況。

此功能尤其對金融服務和大型高科技行業(yè)的客戶非常有用。可以在需要訪問數據的開發(fā)人員/員工眾多但無法在公司外部公開的情況下大規(guī)模管理統一權限。

2。啟用限制域共享

打開統一存儲分區(qū)級訪問權限后，Cloud Storage中另一個有用的工具是在組織策略中強制實施限制域共享約束，以防止意外的公共數據共享或在組織外共享。借助此功能，組織和開發(fā)團隊可以快速行動，而安全和治理團隊可以大規(guī)模實施安全性，并相信資源擁有適當的控制權。限制域共享可以與統一存儲分區(qū)級訪問結合使用，以配置堅如磐石的訪問控制策略，并防止意外的公共暴露。

3。使用Cloud KMS加密Cloud Storage數據

關于數據訪問和控制的法規(guī)越來越嚴格。例如，GDPR(General Data Protection Regulation)使許多公司改變了收集，存儲和處理個人信息的方式。這個難題的重要部分是加密密鑰管理。Cloud KMS是Cloud Storage支持的云托管密鑰管理服務，可管理云存儲數據的加密密鑰?？梢陨?，使用，旋轉和銷毀AES256，RSA 2048，RSA 3072，RSA 4096，EC P256和EC P384加密密鑰。此功能提供了最新的加密管理，可以幫助制定各種規(guī)則。

4。使用Cloud Audit Logging審核Cloud Storage數據

Cloud Audit Logs可以查看用戶活動和整個Google Cloud(包括Cloud Storage)中的數據訪問情況。云審計日志位于高度受保護的云存儲中，從而產生安全，不變且高度持久的審計跟蹤。用戶還可以使用Operations(以前稱為Stackdriver)API進行編程訪問，并將Cloud Storage審核日志提取到威脅檢測分析系統中。

5。使用VPC Service Controls保護數據

使用VPC(Virtual Private Cloud)Service Controls，可以圍繞Cloud Storage服務資源配置安全范圍，并控制跨范圍邊界的數據泄露。例如，作為服務范圍一部分的VPC網絡中的VM可以從Cloud Storage存儲分區(qū)中讀取/寫入。拒絕從外圍訪問數據的任何嘗試。將Cloud Storage存儲分區(qū)置于VPC Service Control安全邊界之后，可以為Cloud Storage數據提供類似于私有云的安全狀態(tài)。