[Day28] Security

在网路世界中，安全永远是最最重要的事情，而云端安全当然也不例外。任何的安全问题都来自於人为的疏忽，部分云端上面会遇到的安全问题，在地端的机器上也会遇到，例如常见的 OWASP TOP 10 上的网路攻击，或是 DDoS 等。除了这种面对骇客的攻击之外，我们也要注意公司内的意外内贼部分，如这则新闻，三立电视的离职员工透过 Tor 返回原公司的 AWS 帐号中删除档案。

今天我主要会介绍的是 Google Cloud 的管理层面，有哪些可以注意的地方，这边会介绍人、机器与网路三个层面。

人

人的问题为例，最最重要的就是 IAM 相关的管理，身为一个云端的管理者需要使用资料夹的方式管理公司内的各个部分，并且掌握「保持最低权限」的原则，尽量的让使用者在可以顺利做事情的最低权限，特别注意 Owner 与 Editor 的权限不能无止尽的发。而当公司人员掉离部门或离开公司後，应该要立刻修改它的 IAM Rule。

机器

机器相关的问题，一样回到 IAM 上，我们需要确保每台机器的 Services Account 权限是否合宜，是否有可能使用者或恶意的攻击者从低权限的机器，藉由 Services Account 的 Rule 而横向移动到其他抬高权限的机器之中。如果是自己管理的作业系统，需要确认作业系统是否有安全性的更新需要进行修补。而部属的程序上的安全则暂时不在今天云端的讨论范围内，可以参考我隔壁棚的渗透测试文章。

网路

网路层面的安全其实一样基於「最低权限」的原则，一台不需要联外的服务器就不要给它 Public 的 IP，而需要对外的服务也需要透过防火墙来限制 Port Forwarding；可以透过 Google Cloud 的 Load Balancing 进行 DDoS 的检测，并透过 Cloud CDN 或 Cloudflare 等 CDN 服务进行防御。Google Cloud 也有提供 Cloud Armor 与 WAF 等服务保障网路层面的安全。