Облачное хранилище позволяет организациям сократить расходы и операционную нагрузку, ускорить масштабирование и получить доступ к другим преимуществам облачных вычислений. В то же время они также должны обеспечить соблюдение требований конфиденциальности и безопасности, чтобы ограничить доступ и защитить конфиденциальную информацию.
Рекомендации по защите ваших данных с помощью облачного хранилища
Защита данных корпоративного хранилища требует заблаговременного планирования для защиты ваших данных от будущих угроз и новых вызовов. Помимо основных функций, облачное хранилище предлагает несколько функций безопасности, таких как унифицированный доступ на уровне корзины, ключи HMAC учетной записи службы, условия IAM, токены делегирования и подписи V4.
Мы хотели поделиться некоторыми рекомендациями по безопасности для использования этих функций, чтобы помочь защитить ваши данные в масштабе:
№1. Используйте политики организации для централизации контроля и определения границ соответствия
Облачное хранилище, как и Google Cloud, следует иерархии ресурсов. Сегменты содержат объекты, связанные с проектами, которые затем привязываются к организациям. Вы также можете использовать папки для дальнейшего разделения ресурсов проекта. Политики организации — это параметры, которые можно настроить на уровне организации, папки или проекта, чтобы обеспечить поведение, зависящее от службы.
Вот две политики организации, которые мы рекомендуем включить:
- Доступ с ограничением домена. Эта политика запрещает делиться контентом с людьми за пределами вашей организации. Например, если вы попытаетесь сделать содержимое корзины доступным для общего доступа в Интернете, эта политика заблокирует эту операцию.
- Единый доступ на уровне сегмента. Эта политика упрощает предоставление разрешений и помогает управлять доступом в масштабе. С помощью этой политики все вновь созданные сегменты имеют единый контроль доступа, настроенный на уровне сегмента, управляющий доступом ко всем базовым объектам.
№2. Рассмотрите возможность использования Cloud IAM для упрощения управления доступом
Cloud Storage предлагает две системы предоставления разрешений для ваших сегментов и объектов: Cloud IAM и списки контроля доступа (ACL). Чтобы кто-то получил доступ к ресурсу, только одна из этих систем должна предоставить разрешения.
Списки управления доступом действуют на уровне объекта и предоставляют доступ к отдельным объектам. По мере увеличения количества объектов в корзине увеличиваются и затраты на управление отдельными списками управления доступом. Становится трудно оценить, насколько безопасны все объекты в одном сегменте. Представьте, что вам нужно перебирать миллионы объектов, чтобы увидеть, есть ли у одного пользователя правильный доступ.
Мы рекомендуем использовать Cloud IAM для управления доступом к вашим ресурсам. Cloud IAM обеспечивает единый механизм Google Cloud, ориентированный на платформу, для управления контролем доступа к данным вашего облачного хранилища. Когда вы включаете единый контроль доступа на уровне корзины, списки управления доступом к объектам запрещаются, а политики Cloud IAM на уровне корзины используются для управления доступом, поэтому разрешения, предоставленные на уровне корзины, автоматически применяются ко всем объектам в корзине.
№3. Если вы не можете использовать политики IAM, рассмотрите другие альтернативы спискам управления доступом
Мы понимаем, что иногда наши клиенты продолжают использовать списки управления доступом по разным причинам, например в многооблачных архитектурах или при совместном использовании. объект с отдельным пользователем. Однако мы не рекомендуем добавлять конечных пользователей в списки управления доступом к объектам.
Вместо этого рассмотрите эти альтернативы:
- Подписанные URL-адреса. Подписанные URL-адреса позволяют делегировать ограниченный по времени доступ к вашим ресурсам Cloud Storage. Когда вы создаете подписанный URL-адрес, его строка запроса содержит информацию аутентификации, связанную с учетной записью с доступом (например, учетной записью службы). Например, вы можете отправить кому-то URL-адрес, позволяющий ему получить доступ к документу, прочитать его, а доступ будет отозван через неделю.
- Отдельные сегменты. Проведите аудит сегментов и найдите шаблоны доступа. Если вы заметили, что группа объектов использует один и тот же набор ACL для объектов, подумайте о том, чтобы переместить их в отдельную корзину, чтобы вы могли контролировать доступ на уровне корзины.
- Условия IAM. Если ваше приложение использует общие префиксы в именовании объектов, вы также можете использовать условия IAM для сегментирования доступа на основе этих префиксов.
- Токены делегирования. Вы можете использовать Токены STS для предоставления ограниченного по времени доступа к корзинам Cloud Storage и общим префиксам.
#4. Используйте ключи HMAC для учетных записей служб, а не для учетных записей пользователей.
Ключ аутентификации сообщений на основе хэша (ключ HMAC) — это тип учетных данных, используемых для создания подписей, включаемых в запросы к Cloud Storage. Как правило, мы предлагаем использовать ключи HMAC для учетных записей служб, а не учетных записей пользователей. Это помогает устранить последствия для безопасности и конфиденциальности, связанные с использованием учетных записей, принадлежащих отдельным пользователям. Это также снижает риск перебоев в доступе к службам, поскольку учетные записи пользователей могут быть отключены, когда пользователь покидает проект или компанию.
Для дальнейшего повышения безопасности мы также рекомендуем:
- Регулярная смена ключей в рамках политики ротации ключей.
- Предоставление учетным записям служб минимального доступа для выполнения задачи (т. е. принцип наименьших привилегий).
- Установите разумные сроки истечения срока действия, если вы все еще используете подписи версии 2 (или переходите на подписи версии 4, что автоматически устанавливает максимальный срок в одну неделю).
