• hueminh9

Tính năng bảo mật của Google Cloud và Workspace cho "Hành trình trên mây" của doanh nghiệp an toàn

Updated: Jun 5

Lợi ích cốt lõi của Cloud hỗ trợ hiện đại hóa chương trình bảo mật là các tính năng phát triển của đơn vị cung cấp, giúp bảo vệ người dùng, các ứng dụng kèm theo và dữ liệu của mình. Một trong những cam kết của Google với người dùng Cloud đó là liên tục bổ sung các tính năng bảo mật mới vào Google Cloud và Google Workspace, cũng như các hướng dẫn hữu ích về cách giải quyết các thách thức về bảo mật và nâng cao tình hình bảo mật của người dùng với sự trợ giúp của các công cụ.



Tùy chỉnh quy trình xác thực của ứng dụng bằng Identity Platform

Tùy chỉnh quy trình xác thực ứng dụng bằng cách sử dụng Identity Platform là giải pháp quản lý quyền truy cập và nhận dạng khách hàng cho phép bạn thêm chức năng IAM vào các ứng dụng của mình. Google thông báo về tính khả dụng chung của các chứng năng chặn - tính năng cho phép bạn tùy chỉnh luồng nhận dạng ứng dụng của mình.


Các chức năng chặn hoạt động như hệ thống hook và trình kích hoạt, cho phép bạn đặt các hook cho các sự kiện xác thực người dùng nhất định bằng cách sử dụng mã Node.js trong Google Cloud Functions và các chức năng kích hoạt để phản hồi các sự kiện này.


Dưới đây là một số ví dụ về các tình huống hàm chặn đặc biệt hữu ích:

  • Ứng dụng của bạn cho phép người dùng tự đăng ký dựa trên email/mật khẩu nhưng bạn muốn chặn người dùng có miền email xấu đăng ký ứng dụng của mình.

  • Khi người dùng đăng ký hoặc đăng nhập vào ứng dụng của bạn, bạn muốn chỉ định vai trò như “quản trị viên” hoặc “người dùng cao cấp” và sử dụng nó để kiểm soát đặc quyền truy cập vào ứng dụng của bạn.

  • Bạn muốn sử dụng thông tin bổ sung có trong mã thông báo OAuth do Nhà cung cấp danh tính liên kết cấp (mã ID, Quyền truy cập và cấp lại Token) để thực thi quyền truy cập bổ sung vào cơ sở dữ liệu như mã quốc gia, vị trí địa lý hoặc các tuyên bố tương tự về người dùng.

  • Cập nhật hoặc làm phong phú hồ sơ người dùng với thông tin bổ sung mà bạn thu thập được từ người dùng (số điện thoại, vị trí, tùy chọn ngôn ngữ của họ,v.v.) và lưu chúng vào hồ sơ người dùng trong cơ sở dữ liệu của Identity Platform.

  • Các chức năng chặn được chạy đồng bộ và sẽ chặn các sự kiện cơ bản hoàn thành cho đến khi chức năng phản hồi - cho phép bạn sửa đổi các sự kiện xác thực trong thời gian thực.

Cloud DLP phân tích tài liệu nhạy cảm

Đôi khi chỉ cần biết định dạng của một phần dữ liệu có thể cho chúng ta biết rằng tài liệu đó là một phần nhạy cảm như mã nguồn, số tài khoản hoặc tài liệu tài chính chẳng hạn.

Cloud Data Loss Prevention (DLP) hiện cung cấp một bộ phân loại tài liệu hỗ trợ AI/ML mới có thể giúp bạn xác định các tài liệu/thông tin nhạy cảm được sử dụng đơn lẻ hoặc kết hợp với thông tin nhận dạng cá nhân (PII) hoặc thông tin đăng nhập doanh nghiệp và kiểm tra bí mật, tính năng mới này của Cloud DLP có thể giúp bạn khám phá, hiểu rõ hơn và bảo vệ dữ liệu nhạy cảm của mình.


Cloud EKM hỗ trợ các dịch vụ bổ sung (Cloud SQL, GKE và các dịch vụ khác)

Vào đầu năm 2020, Google đã ra mắt Cloud External Key Manager (Cloud EKM) và sản phẩm Hold-Your-Own-Key (HYOK hàng đầu trong ngành). Cloud EKM ban đầu ra mắt với sự hỗ trợ cho BigQuery và GCE/PD; Google đã mở rộng hỗ trợ cho Cloud SQL, GKE, Dataflow Shuffle và Secret Manager, với hỗ trợ CMEK hiện đang trong giai đoạn thử nghiệm. Cloud Spanner hiện cũng được hỗ trợ bởi CMEK. Giờ đây, bạnn có thể kiểm soát và bảo vệ dữ liệu của mình tốt hơn trong các dịch vụ đó.


Chính sách định hướng VPC-SC

Khi các doanh nghiệp lên kế hoạch di chuyển trên Cloud, họ thường thấy rằng các chiếc lược bảo mật quen thuộc, chẳng hạn như sử dụng tường lửa để phân đoạn ứng dụng không thể áp dụng khi các ứng dụng đó được tái cấu trúc để ứng dụng trên dịch vụ đám mây được quản lý như cơ sở dữ liệu hoặc bộ lưu trữ. Với kiểm soát dịch vụ VPC (VPC-SC), quản trị viên có thể xác định phạm vi bảo mật xung quanh các dịch vụ do Google quản lý để kiểm soát giao tiếp đến và giữa các dịch vụ đó. Sử dụng VPC-SC, bạn có thể bảo vệ tài nguyên của mình khỏi mạng VPC trái phép hoặc internet, đồng thời bảo vệ cả tài nguyên GCP và mạng VPC khỏi tài nguyên GCP trái phép. Nhưng điều gì sẽ xảy ra nếu bạn cần chuyển giữ liệu giữa các môi trường biệt lập mà bạn thiết lập?


Chính sách định hướng VPC-SC là một tính năng trao đổi dữ liệu an toàn mới cho phép bạn định cấu hình trao đổi dữ liệu hiệu quả, riêng tư và an toàn giữa các môi trường biệt lập. Các chính sách có thể được áp dụng khi đi vào hoặc đi ra từ chu vi Kiểm soát dịch vụ VPC và có thể được định cấu hình cho các chu vi hiện có hoặc bao gồm các chu vi mới được tạo.


Ngoài ra, VPC-SC có thể kiểm soát truy cập dựa trên ngữ cảnh (bao gồm nguồn gốc mạng - địa chỉ IP/mạng VPC), loại nhận dạng (tài khoản dịch vụ hoặc người dùng), danh tính và thuộc tính thiết bị cho các tài nguyên GCP.


Với các chính sách định hướng VPC-SC, bạn có thể:

  • Trao đổi dữ liệu hiệu quả giữa các tổ chức với các kiểm soát hướng chi tiết để giảm thiểu rủi ro xâm nhập dữ liệu.

  • Hạn chế các loại nhận dạng và danh tính có thể được sử dụng cho một mạng nguồn, địa chỉ IP hoặc thiết bị cho cả đầu vào và đầu ra.

  • Đảm bảo rằng khách hàng trong các phân đoạn ít đặc quyền hơn không có quyền truy cập vào tài nguyên GCP trong các phân đoạn cần quyền truy cập cao hơn.

Cải tiến đối với Vault dành cho Google Workspace

Google Vault là công cụ quản trị thông tin và khám phá điện tử mạnh mẽ dành cho Google Workspace. Vault có giao diện mới vào cuối năm ngoái, với giao diện được thiết kế lại giúp điều hướng qua công cụ dễ dàng và nhanh chóng hơn. Một số cải tiến có thể giúp bạn làm việc hiệu quả hơn trong Vault bao gồm các bảng mới có thể sắp xếp, chọn lọc cho các quy tắc lưu giữ tùy chỉnh và kết quả tìm kiếm cũng như quy trình từng bước với các chú giải công cụ được bổ sung khi bạn thiết lập quy tắc lưu giữ.


Tiếp theo, Vault hiện hỗ trợ dữ liệu Google Voice, bạn có thể lữ giữ, tìm kiếm và xuất dữ liệu Google Voice bao gồm tin nhắn văn bản, nhật ký cuộc gọi, thư thoại và bản ghi thư thoại. Bằng cách mở rộng phạm vi phủ sóng của Vault sang Google Voice, khách hàng có thể sử dụng khả năng quản lý thông tin, eDisovery và kiểm tra của Vault để giúp đáp ứng các nghĩa vụ pháp lý và quy định của họ đối với dữ liệu đó.


Đừng quên theo dõi Blog CloudAZ để tiếp cận đến những cập nhật mới nhất từ Google về sản phẩm dành cho doanh nghiệp trong mùa dịch này nhé!


10 views