https://cloud.google.com/blog/topics/developers-practitioners/google-cloud-security-overview
SLSA ( Supply Chain Levels for Software Artifacts ) 是一個 end-to-end 的 supply chain integrity framework,簡單的說就是可以提升你送 code 到服務的安全性。
下圖中上半部就是我們推 code 的過程,然後紅字應該就是有可能會有資安風險的地方,然後接下來下圖就是 google 所提供的服務,可以幫助我們解決紅字安全的地方。
圖片來源: google-cloud-security-overview
Open Source Insights : 可以幫助我們確認相依、安全性公告與 license 相關。
Cloud Build : 就是 Ci 工具,有些資安檢查應該也可以在這裡跑。
Artifact Registry : 我們在 Cloud Build 做好的 image 會放到這,然後它有安全漏洞掃描功能。
Binary Authorization : 它是一種部署作業期間的安全性控管機制
主要就是針對 data 的資安防禦,google cloud 有提供以下的東西 :
資料在『 靜態狀態與傳輸過程 』中都可進行加密。
金鑰管理服務 KMS ( 托管金鑰管理服務 ) 與 EKM ( 外部金鑰管理器 )
Cloud DLP : 用於發現、分類和保護敏感資料。
圖片來源: google-cloud-security-overview
Cloud Identity : 它是一個 IDaaS ( Identity as a Service ) 服務,它可以集中管理 user 與 group,並且也可以與其它 AD 服務整合 ( ex. Azure Active Directory ),它就是個 Authentication 服務 。
Cloud IAM : 就是 Authorization 服務,也就是決定一個 user 或 group 可以做什麼。
BeyondCorp Enterprise : 這個好像是針對 application 與 resource 的 0 信任模式,也就是說開了只有被允需的人才能用。
下面為 google 所畫的Authentication ( 你是誰 ? )
與 Authorization ( 你可以做什麼 )
的圖。
圖片來源: google-cloud-security-overview
圖片來源: google-cloud-security-overview