皇冠体育寻求亚洲战略合作伙伴,皇冠代理招募中,皇冠平台开放会员注册、充值、提现、电脑版下载、APP下载。

首页科技正文

身处「chu」资安威胁不自 zi[知?4个远距前必知的云『yun』端资安防护对 dui[策!

admin2021-11-1210

皇冠开户www.huangguan.us)是一个开放皇冠正网即时比分、皇冠开户的平台。皇冠开户平台(www.huangguan.us)提供最新皇冠登录,皇冠APP下载包含新皇冠体育代理、会员APP。

在疫情的冲击下,越来越多企业开始导入远距工作模式。但除了硬体设备,资安威胁也是企业在导入远距工作模式时不可忽视的重要课题!究竟公司该如何检视自身的云端资安防护网是否完善?那些对策能有效保护公司的资料安全?以下提供4大防护建议给大家参考。

(本文为专家投稿,作者为 Cloud Ace。Cloud Ace 为亚洲据点最多的 Google Cloud Platform™(GCP)菁英合作伙伴,拥有的 Google 专业领域认证及证照数居亚洲之冠。《T客邦》欢迎各路好手针对擅长主题投稿或是针对数位议题发表自身意见,详情以及方式请见征稿页面。)

不论您的系统在地端或云端,如果只开放一个 IP 或 URL 让大家连线且没有设定防火墙,那就很容易就被骇客入侵!随便猜一下密码就能被攻破。 GCP 有提供无伺服器的防火墙,您可以直接锁定,只允许员工的 IP 去连线,而不是开放所有来源 IP 都可以连线,因为网路上有很多骇客每天都会跑一些小程式,一天到晚在网路上扫描开放连线的 IP 和 Port,很快就会被找到。

截图自:Google Cloud Platform Console 页面。©2021 Google

以上只是第一道防线,更好的方法是使用跳板机。这样一来,安全性就能提高不少!

Bation_Host 跳板机

跳板机设定建议:

1.只允许员工的IP (或是VPN) 能登入跳板机
2.内部主机不开放外部IP连线,只允许跳板机的IP连线

Cloud IAP 是在 BeyondCorp 框架底下的一个重要实做 ,它可以做到连线到网站时就有身分验证。另外还会确认使用者的情境,例如从哪一个IP连线、从哪一个国家、手机有没有设密码等等,最后再放行到应用程式。它管理的范围真的超级广,如果公司连装置都纳入管理 (Google Workspace/Cloud Identity 的装置管理),那就是所有 BeyondCorp 的功能都实现了。

BeyondCorp 与 Cloud_IAP

IAP 的实作细节这次我们先不提,需要的伙伴可以参考《[DDoS大作战] BeyondCorp实作 – 设定 Cloud IAP 完全封锁外部异常流量》这篇文章。简而言之,它可以做到使用者登入内部系统之前,必须再做登入验证:

Cloud_IAP要求使用者登入。截图自:Google Cloud Platform Login 页面。©2021 Google

不只这样,如果使用 Google Workspace 或 Cloud Identity,还能强制启用两步骤验证,几乎可以防止外部人员登入系统。

Cloud_IAP搭配两步骤验证。截图自:Google 两步骤验证页面。©2021 Google

,

ERC换TRC,TRC换ERCwww.u2u.it)是最高效的ERC换TRC,TRC换ERC的平台.ERC20 USDT换TRC20 USDT,TRC20 USDT换ERC20 USDT链上匿名完成,手续费低。

,

延伸阅读:

  • [GCP 资安攻略] GCP 资讯安全各项功能简介_BeyondCorp 安全模型
  • AD 帐号登入 GCP 方法攻略!用 Cloud Identity 与 GCDS/PS 移转帐号资料
  • GCP上如何建立Organization ? 透过Cloud Identity Free 帮你实现

其实 GCP 上的资料,不管是储存时的加密(Encryption at rest),或传输时的加密(Encryption in transit),都已经有内建一些服务来保护你的资料。除此之外,还有所谓的 CMEK(Customer Managed Encryption Key),指的是客户使用的代管式金钥管理:Google 的 KMS(Key Management Service)。

Cloud_KMS 云端金钥。截图自:Google Cloud Platform Console 页面。©2021 Google

KMS 可以让你在 GCP 上建立自己的 key,让你存资料时带 key 进去加密,然后取资料也要带 key 去解密资料。另外还能够设定自动换 key,每个月换500个 key 都没问题。另外,他现在也支援自己从地端汇入你的金钥,让 Cloud KMS 帮你保管,帮你给资料加密,不过地端的金钥你就要自己保护好了。

你可能会想,那能不能自己管 key 呢?当然可以,使用所谓的 CSEK (Customer Supplied Encryption Key)可以让你用地端的 key 来加密。但是,自己管就不要弄丢 key!key 丢了,没有人可以救得回来喔!Google 只会放在它的暂存记忆体让你存取资料时使用,但并不会帮你留 key 在 GCP上面。 

如果你在云端有资料库,传输时又怕被侧录,那可以使用 Cloud SQL 做为资料库,它可以设定只允许连线的 IP,也可以启用加密凭证连线。

Cloud_SQL 加密凭证。截图自:Google Cloud Platform Console 页面。©2021 Google

Cloud SQL 会让你下载三个凭证档案,这样一来在使用 Cloud SQL 时,传输的资料即使被拦截也无法轻易破解。详细的做法可以参考《Cloud SQL安全连线密技part1 – 限定IP与强制SSL连线》一文。

Cloud_SQL 加密凭证档案。©2021 Google

以上四种方法,可以确保使用者登入系统操作以及传输资料时的安全,防止外人入侵或侧录资料。而这些功能都可以在 GCP 上找到对应的功能! 

延伸阅读:

 

================================================

本文为读者投稿,不代表《T客邦》立场。《T客邦》长期欢迎读者或是业界专家用文字或是影音来发声,将你对于科技世界想讲的话、想表达的想法传递出来,让更多人看见。详情以及方式请见征稿页面。

================================================

,

新2注册www.22223388.com)是皇冠体育官方正网(新2信用网)线上开放新2会员开户、新2代理开户,新2额度自动充值等业务的直营平台。

网友评论