Google Cloud: 5种增强云存储安全性和数据保护的方法
发布时间:2024-08-17 点击:56
云存储是许多现代企业的基础技术,可帮助存储大量数据,用户可以轻松访问和使用这些数据来支持现代数据项目。
对于每种google cloud产品而言,安全始终是重中之重。默认情况下,cloud storage通过丰富的安全控制和审核能力来保护数据。让我们看一下cloud storage中可用的一些新安全功能。
云存储安全性的新增功能
cloud storage的v4签名支持
ga(google analytics)目前已推出cloud storage的v4签名支持。v4签名功能使客户能够生成具有有限权限和持续时间的签名url(也称为预签名url),他们可以将其发布给不需要google身份的客户/用户。基于签名的身份验证(尤其是通过签名的url)是一种非常常见的安全措施,用于内容存储和交付,saas平台和应用程序以及分析(企业数据仓库和分析管道)。
cloud storage服务帐户的基于哈希的消息身份验证(hmac)
可以管理和使用与cloud storage服务帐户(而不是用户帐户)关联的基于哈希的消息身份验证(hmac)凭据。此功能无需依赖与用户帐户绑定的凭据,从而增强了身份验证和安全性。此功能还可以在安全性,身份验证设置和实践方面在多个云供应商之间无缝地互操作。
对cloud iam的统一存储分区级访问
cloud storage对cloud identity and access management(cloud iam)的支持,能够按角色将访问策略应用于cloud storage用户以及其他google cloud产品。新的统一存储分区级访问功能可以通过cloud iam策略统一配置对cloud storage资源的访问,从而实现大规模的可管理性。启用存储分区级访问后,只有存储分区级的cloud iam权限才授予对该存储分区及其包含的对象的访问权限。
将云存储安全最佳实践付诸实践
保护企业存储数据需要提前考虑以保护数据免受新的威胁和挑战。以下是使用这些新功能并帮助防止数据泄漏或黑客入侵的五个建议:
1.打开统一存储分区级访问权限及其组织策略
通过cloud storage统一存储分区级访问,可以为存储分区配置和实施统一的cloud iam策略。启用此功能还可以确保免受任何对象级acl的侵害,这成为管理访问(尤其是大规模访问)的挑战。此功能还提供了一种组织策略,如果需要,可以使用该策略在所有新存储分区上强制使用统一的iam访问策略。在存储分区级别执行iam策略可以帮助防止意外公开,如果用户将单个对象公开,则在没有此功能的情况下可能会发生这种情况。
此功能尤其对金融服务和大型高科技行业的客户非常有用。可以在需要访问数据的开发人员/员工众多但无法在公司外部公开的情况下大规模管理统一权限。
2.启用限制域共享
打开统一存储分区级访问权限后,cloud storage中另一个有用的工具是在组织策略中强制实施限制域共享约束,以防止意外的公共数据共享或在组织外共享。借助此功能,组织和开发团队可以快速行动,而安全和治理团队可以大规模实施安全性,并相信资源拥有适当的控制权。限制域共享可以与统一存储分区级访问结合使用,以配置坚如磐石的访问控制策略,并防止意外的公共暴露。
3.使用cloud kms加密cloud storage数据
关于数据访问和控制的法规越来越严格。例如,gdpr(general data protection regulation)使许多公司改变了收集,存储和处理个人信息的方式。这个难题的重要部分是加密密钥管理。cloud kms是cloud storage支持的云托管密钥管理服务,可管理云存储数据的加密密钥。可以生成,使用,旋转和销毁aes256,rsa 2048,rsa 3072,rsa 4096,ec p256和ec p384加密密钥。此功能提供了最新的加密管理,可以帮助制定各种规则。
4.使用cloud audit logging审核cloud storage数据
cloud audit logs可以查看用户活动和整个google cloud(包括cloud storage)中的数据访问情况。云审计日志位于高度受保护的云存储中,从而产生安全,不变且高度持久的审计跟踪。用户还可以使用operations(以前称为stackdriver)api进行编程访问,并将cloud storage审核日志提取到威胁检测分析系统中。
5.使用vpcservice controls保护数据
使用vpc(virtual private cloud)service controls,可以围绕cloud storage服务资源配置安全范围,并控制跨范围边界的数据泄露。例如,作为服务范围一部分的vpc网络中的vm可以从cloud storage存储分区中读取/写入。拒绝从外围访问数据的任何尝试。将cloud storage存储分区置于vpc service control安全边界之后,可以为cloud storage数据提供类似于私有云的安全状态。
文章来源:https://cloud.google.com/blog/products/storage-data-transfer/5-ways-to-enhance-your-cloud-storage-security-and-data-protection
的域名注册商为您上报到工信部中验证库中的域名注册信息中注册人
阿里云1元服务器购买
香港哪个虚拟主机好
服务器配件神州云科无硬盘
服务器过期腾讯云备案
谷歌浏览器不显示标签页怎么回事 谷歌浏览器不显示标签页的解决方法
阿里云服务器怎样增加个硬盘
备案速度问题-备案平台
对于每种google cloud产品而言,安全始终是重中之重。默认情况下,cloud storage通过丰富的安全控制和审核能力来保护数据。让我们看一下cloud storage中可用的一些新安全功能。
云存储安全性的新增功能
cloud storage的v4签名支持
ga(google analytics)目前已推出cloud storage的v4签名支持。v4签名功能使客户能够生成具有有限权限和持续时间的签名url(也称为预签名url),他们可以将其发布给不需要google身份的客户/用户。基于签名的身份验证(尤其是通过签名的url)是一种非常常见的安全措施,用于内容存储和交付,saas平台和应用程序以及分析(企业数据仓库和分析管道)。
cloud storage服务帐户的基于哈希的消息身份验证(hmac)
可以管理和使用与cloud storage服务帐户(而不是用户帐户)关联的基于哈希的消息身份验证(hmac)凭据。此功能无需依赖与用户帐户绑定的凭据,从而增强了身份验证和安全性。此功能还可以在安全性,身份验证设置和实践方面在多个云供应商之间无缝地互操作。
对cloud iam的统一存储分区级访问
cloud storage对cloud identity and access management(cloud iam)的支持,能够按角色将访问策略应用于cloud storage用户以及其他google cloud产品。新的统一存储分区级访问功能可以通过cloud iam策略统一配置对cloud storage资源的访问,从而实现大规模的可管理性。启用存储分区级访问后,只有存储分区级的cloud iam权限才授予对该存储分区及其包含的对象的访问权限。
将云存储安全最佳实践付诸实践
保护企业存储数据需要提前考虑以保护数据免受新的威胁和挑战。以下是使用这些新功能并帮助防止数据泄漏或黑客入侵的五个建议:
1.打开统一存储分区级访问权限及其组织策略
通过cloud storage统一存储分区级访问,可以为存储分区配置和实施统一的cloud iam策略。启用此功能还可以确保免受任何对象级acl的侵害,这成为管理访问(尤其是大规模访问)的挑战。此功能还提供了一种组织策略,如果需要,可以使用该策略在所有新存储分区上强制使用统一的iam访问策略。在存储分区级别执行iam策略可以帮助防止意外公开,如果用户将单个对象公开,则在没有此功能的情况下可能会发生这种情况。
此功能尤其对金融服务和大型高科技行业的客户非常有用。可以在需要访问数据的开发人员/员工众多但无法在公司外部公开的情况下大规模管理统一权限。
2.启用限制域共享
打开统一存储分区级访问权限后,cloud storage中另一个有用的工具是在组织策略中强制实施限制域共享约束,以防止意外的公共数据共享或在组织外共享。借助此功能,组织和开发团队可以快速行动,而安全和治理团队可以大规模实施安全性,并相信资源拥有适当的控制权。限制域共享可以与统一存储分区级访问结合使用,以配置坚如磐石的访问控制策略,并防止意外的公共暴露。
3.使用cloud kms加密cloud storage数据
关于数据访问和控制的法规越来越严格。例如,gdpr(general data protection regulation)使许多公司改变了收集,存储和处理个人信息的方式。这个难题的重要部分是加密密钥管理。cloud kms是cloud storage支持的云托管密钥管理服务,可管理云存储数据的加密密钥。可以生成,使用,旋转和销毁aes256,rsa 2048,rsa 3072,rsa 4096,ec p256和ec p384加密密钥。此功能提供了最新的加密管理,可以帮助制定各种规则。
4.使用cloud audit logging审核cloud storage数据
cloud audit logs可以查看用户活动和整个google cloud(包括cloud storage)中的数据访问情况。云审计日志位于高度受保护的云存储中,从而产生安全,不变且高度持久的审计跟踪。用户还可以使用operations(以前称为stackdriver)api进行编程访问,并将cloud storage审核日志提取到威胁检测分析系统中。
5.使用vpcservice controls保护数据
使用vpc(virtual private cloud)service controls,可以围绕cloud storage服务资源配置安全范围,并控制跨范围边界的数据泄露。例如,作为服务范围一部分的vpc网络中的vm可以从cloud storage存储分区中读取/写入。拒绝从外围访问数据的任何尝试。将cloud storage存储分区置于vpc service control安全边界之后,可以为cloud storage数据提供类似于私有云的安全状态。
文章来源:https://cloud.google.com/blog/products/storage-data-transfer/5-ways-to-enhance-your-cloud-storage-security-and-data-protection
的域名注册商为您上报到工信部中验证库中的域名注册信息中注册人
阿里云1元服务器购买
香港哪个虚拟主机好
服务器配件神州云科无硬盘
服务器过期腾讯云备案
谷歌浏览器不显示标签页怎么回事 谷歌浏览器不显示标签页的解决方法
阿里云服务器怎样增加个硬盘
备案速度问题-备案平台