你終究要上雲端的，那為什麼不一開始就上？

接下來三天是關於三大雲端服務，
分別就是GCP(Google)、Azure(Microsoft )、AWS(Amazon)。
雲端已經不算是甚麼最新的議題，也不是甚麼話題了，
而是幾乎算是必然的未來發展趨勢。

雖然說接著是要三連發雲端資安，
但是實際上我自己有接觸過的也只有AWS啦XD

不過其實不管是哪一間雲端廠商，
對於雲端的資安來說，個人的想法，
雲端與地端多少在架構與概念上會有差異，
但實際上資安的概念並不會相差甚遠，
真的麻煩的地方，只是要去記各家廠商的服務，
每個廠商針對不同的服務都會有自己的一個名字，
先前也有人整理了一張圖，
算是很詳細的對應了各家廠商相似產品服務的名稱。
一時找不到那張圖，若有找到我在補上～
那張圖真的滿貼心的，不過實際上每家廠商各自的服務，
一定多少還是會有差異，尤其有些服務牽涉到的都是自己的其他服務。

回過頭來，為什麼我上面要說這麼一段呢？
其實我想表達的是，
「雲端的資安」還滿著重在於你熟悉的是哪一家雲端，
即使你今天對於GCP資安了解得非常徹底，
也不表示，今天要你去做AWS的資安，你就可以做得好。
即使有些概念類似，但是實作上、設定上必然會有差異。

今天就先來個GCP吧～

照慣例，每篇文章都會附上第一篇的文章，讓大家了解一下這系列文章說明
https://ithelp.ithome.com.tw/articles/10264252

1.甚麼是Cloud Armor？

Cloud Armor提供了WAF服務與DDos防禦機制，可以用來保護網站，阻擋常見的網頁攻擊手法還有DDoS攻擊。

2.GCP當中靜態資料的儲存，預設情況下是否有進行加密？

有，儲存在Google Cloud上的所有資料，預設的情況下都會自動使用標準的AES-256加密。

3.在GCP當中，我是否可以自行創立或是導入加密金鑰，並且由自己來保管金鑰。

可以，CCP的Cloud KMS當中，可以使用CMEK(Customer-managed encryption keys)來自行管理金鑰。

4.甚麼是Cloud DLP(Data Loss Prevention)？

Cloud DLP是Cloud Storage當中的服務，可以利用Cloud DLP來針對Cloud Storage當中的資料進行分類、探索與掃描，協助對存有敏感資料的目標進行保護，防止敏感資料外洩。

5.如果想針對GCP上的資源進行弱點掃描，可以利用甚麼樣的GCP服務？

可以利用Cloud Security Command Center (Cloud SCC)，除了可以針對內部資源進行弱點掃描，也可能達到預防、偵測、回應，以及安全狀態的整合。

6.甚麼是BeyondCorp？

是BeyondCorp的一個安全模型，也是一個框架，其實就是零信任架構的概念。

7.甚麼是Cloud IAP？

Cloud IAP是零信任模型下的一個實作，Cloud IAP利用嚴謹的身分驗證與來源資訊等層層把關，控管使用者對於一些網站服務或是資源的存取權限。

8.如果我想針對我的整個GCP架構，實施大規模的合規掃瞄與確認，可以使用甚麼樣的工具或服務？

可以使用Forseti或是Config Validator。

9.可以說說看為什麼你會選擇使用GCP(或是選擇走GCP這條路)，而非AWS或是Azure嗎？

--

GCP我是真der不熟啦~
不過Google雲端硬碟，真的是不錯，用好用滿。

若有要補充也都歡迎留言