谷歌新的云安全工具提升了 DDos 防护、透明度和可用性

看新闻很累？看技术新闻更累？试试下载 InfoQ 手机客户端，每天上下班路上听新闻，有趣还有料！

近日，谷歌推出了几项新的聚焦于云安全的谷歌云平台（GCP）增强。这些增强包括云安全命令中心（云 SCC）、“谷歌云盔（Google Cloud Armor）”、VPC 服务控制等新服务和若干供 G Suite 管理员使用的新特性。此外，这些增强是谷歌云平台投资的一部分，帮助客户增强他们的企业解决方案以及他们使用的 GCP 服务的安全性。

借助云安全命令中心，客户可以把安全相关的信息组织到一个控制面板中，谷歌云盔可以阻止 DDos 攻击及其他威胁。此外，VPC 服务控制提供了一种把本地安全策略扩展到谷歌云服务的更好方法，而 G Suite 新特性为管理员提供了一种锁定账户、避免钓鱼邮件的方法。因此，客户可以获得更多的控制权，深化和扩展他们对环境和服务的控制。

新的云 SCC 服务是 GCP 中一个尚处于 Alpha 阶段的产品，它将为 App 引擎、计算引擎、云存储和云数据存储等服务带来更高的透明度。客户可以获得一个云资产目录，可以扫描他们的存储系统，发现敏感数据，可以检测常见的 Web 漏洞，审查关键资源的访问权。

图片来源： http://www.googblogs.com/category/google-cloud-platform-blog/page/2/

另一个 Alpha 产品是谷歌的 VPC 服务控制，其功能包括保护 GCP 中存储在基于 API 的服务里的数据。此外，GCP 安全和隐私产品总监 Jennifer Lin 在发布这个新安全产品的博文中这样写道：

对于像谷歌云存储和 BigQuery 这样的服务，这可以在身份被盗、IAM 策略错配等情况下防止渗漏。这让业务负责人更愿意把数据迁移到云上。

注意，要使用 VPC 服务控制，用户需要通过一个包含其详细信息的 Beta 程序来请求访问。

接下来，和云 SCC 服务及 VPC 控制一起，客户可以使用谷歌云盔，它使用和“搜索”以及“YouTube”产品一样的全球 HTTP(S) 负载均衡。在同一篇博文中，Lin 是这样介绍云盔的：

云盔使用云 HTTP(S) 负载均衡，提供 IPv4 和 IPv6 白名单 / 黑名单，防范诸如跨站脚本（XSS）和 SQL 注入（SQLi）这样的应用感知攻击，提供基于地理位置的访问控制。用户可以使用 Layer 3 到 Layer 7 参数创建自定义防护策略。云盔将提供阻塞流量和允许流量的分类。

谷歌云盔位于谷歌网络的边缘，帮助阻止对其服务的攻击，并且有 IP 白名单和黑名单。这项服务构建在三大基础之上：一个策略框架、一种富规则语言和全球强制执行基础设施。

图片来源： https://cloudplatform.googleblog.com/2018/03/getting-to-know-Cloud-Armor-defense-at-scale-for-internet-facing-services.html

谷歌为其 G Suite 办公软件增加了几个新特性，包括 Gmail 钓鱼攻击发生率。此外，它还在 Google Drive 中针对 Team Drives 增加了额外的安全特性，在移动设备上使用 G Suite 的团队成员可以获得更多的控制。

总之，数据丢失是一个严重的问题，“通用数据保护条例（GDPR）”即将生效，每个人都把安全提上了重要日程。因此，每个云供应商，包括谷歌在内，都致力于提供高标准的安全服务。谷歌近来为增强其云平台的安全性所做的投入就是一个例子。

查看英文原文： Google’s New Cloud Security Tools Increase DDOS Protection, Transparency and Usability