云端资安之GCP篇(Google Cloud Platform)

你终究要上云端的，那为什麽不一开始就上？

接下来三天是关於三大云端服务，
分别就是GCP(Google)、Azure(Microsoft )、AWS(Amazon)。
云端已经不算是甚麽最新的议题，也不是甚麽话题了，
而是几乎算是必然的未来发展趋势。

虽然说接着是要三连发云端资安，
但是实际上我自己有接触过的也只有AWS啦XD

不过其实不管是哪一间云端厂商，
对於云端的资安来说，个人的想法，
云端与地端多少在架构与概念上会有差异，
但实际上资安的概念并不会相差甚远，
真的麻烦的地方，只是要去记各家厂商的服务，
每个厂商针对不同的服务都会有自己的一个名字，
先前也有人整理了一张图，
算是很详细的对应了各家厂商相似产品服务的名称。
一时找不到那张图，若有找到我在补上～
那张图真的满贴心的，不过实际上每家厂商各自的服务，
一定多少还是会有差异，尤其有些服务牵涉到的都是自己的其他服务。

回过头来，为什麽我上面要说这麽一段呢？
其实我想表达的是，
「云端的资安」还满着重在於你熟悉的是哪一家云端，
即使你今天对於GCP资安了解得非常彻底，
也不表示，今天要你去做AWS的资安，你就可以做得好。
即使有些概念类似，但是实作上、设定上必然会有差异。

今天就先来个GCP吧～

照惯例，每篇文章都会附上第一篇的文章，让大家了解一下这系列文章说明
https://ithelp.ithome.com.tw/articles/10264252

1.甚麽是Cloud Armor？

Cloud Armor提供了WAF服务与DDos防御机制，可以用来保护网站，阻挡常见的网页攻击手法还有DDoS攻击。

2.GCP当中静态资料的储存，预设情况下是否有进行加密？

有，储存在Google Cloud上的所有资料，预设的情况下都会自动使用标准的AES-256加密。

3.在GCP当中，我是否可以自行创立或是导入加密金钥，并且由自己来保管金钥。

可以，CCP的Cloud KMS当中，可以使用CMEK(Customer-managed encryption keys)来自行管理金钥。

4.甚麽是Cloud DLP(Data Loss Prevention)？

Cloud DLP是Cloud Storage当中的服务，可以利用Cloud DLP来针对Cloud Storage当中的资料进行分类、探索与扫描，协助对存有敏感资料的目标进行保护，防止敏感资料外泄。

5.如果想针对GCP上的资源进行弱点扫描，可以利用甚麽样的GCP服务？

可以利用Cloud Security Command Center (Cloud SCC)，除了可以针对内部资源进行弱点扫描，也可能达到预防、侦测、回应，以及安全状态的整合。

6.甚麽是BeyondCorp？

是BeyondCorp的一个安全模型，也是一个框架，其实就是零信任架构的概念。

7.甚麽是Cloud IAP？

Cloud IAP是零信任模型下的一个实作，Cloud IAP利用严谨的身分验证与来源资讯等层层把关，控管使用者对於一些网站服务或是资源的存取权限。

8.如果我想针对我的整个GCP架构，实施大规模的合规扫瞄与确认，可以使用甚麽样的工具或服务？

可以使用Forseti或是Config Validator。

9.可以说说看为什麽你会选择使用GCP(或是选择走GCP这条路)，而非AWS或是Azure吗？

--

GCP我是真der不熟啦~
不过Google云端硬碟，真的是不错，用好用满。

若有要补充也都欢迎留言