Google强化云端平台安全功能允许使用第三方金钥管理器

图片来源:

Google

Google强化其云端平台的加密功能，除了允许用户使用外部金钥管理器之外，也赋予用户更多的控制能力，决定解密资料的条件。另外，Google也发布了网页应用程式防火墙Beta测试版，防御来自网际网路的威胁。

Google云端在预设的情况下，会加密静态的资料，而现在Google提供更多的控制，让用户可以更全面的掌握加密操作。现在Google云端用户可将外部金钥管理器搭配Cloud KMS一起使用，储存在第三方金钥管理系统中的金钥，可用来加密BigQuery和Compute Engine中的资料，如此能在利用云端功能进行运算和分析的同时，隔离静态资料和加密金钥。

另一个与外部金钥管理器一同运作的功能，称为金钥存取依据（Key Access Justifications），这项功能会在应用程式请求金钥来解密资料时，要求详细的请求依据，这也为用户提供一个控制机制，可以设定自动政策来同意或是拒绝金钥的使用。结合外部金钥管理器，用户可以设定任何拒绝解密资料的条件，而这项功能将解密资料的最后决定权交给用户。

Google也发布了Cloud Armor新的网页应用程式防火墙，以帮助用户保护网页应用程式免受针对性的分散式网际网路攻击，用户可以依据地理位置设定存取控制，或是以预配置的规则来保护应用程式，也能利用自定义规则语言来建立客製化的网路第七层过滤政策。Cloud Armor现在已经和云端安全中心（Cloud Security Command Center）整合，用户可以直接在安全中心仪表板获得可疑流量的警示。

Google现在还提供封包镜像（Packet Mirroring）服务，让用户能收集并检查Compute Engine和GKE的网路流量，这个服务接受第三方的工具，以更主动积极的方式检测安全威胁，合作的厂商包括Check Point、Cisco和Palo Alto Networks等。