Nieuwe security-features in Google Cloud

Google introduceerde in maart twintig nieuwe features op het gebied van cloud-security. Vandaag kwamen daar nog een aantal aankondigingen bij tijdens Google Cloud Next ‘18 in San Francisco.

“Cloud-migraties zijn niet alleen een kwestie van planning en hard werken. Wat misschien nog wel belangrijker is, is het vertrouwen van klanten in hun cloud-leverancier”, aldus Jennifer Lin, Product Management Director bij Google Cloud, tijdens haar keynote. “Gebruikers moeten er zeker van kunnen zijn dat hun cloud-provider data veilig bewaart en beschermt tegen bedreigingen – en dat alles op een transparante manier.”

Context-afhankelijke toegang tot apps en services
Eindgebruikers willen graag toegang tot bedrijfskritische apps op verschillende soorten devices. Traditionele access management-oplossingen bieden wel een beveiligde toegang, maar dat gaat vaak ten koste van flexibiliteit en gebruiksvriendelijkheid. Daarom introduceert Google context-afhankelijke toegang tot apps en services. Dit maakt het mogelijk om specifieke (groepen) gebruikers toegang te geven tot Google Cloud Platform API’s, datasets, G Suite en third-party apps, gebaseerd op de identiteit en locatie van een gebruiker en de context van een toegangsverzoek.

Context-afhankelijke toegang is beschikbaar voor klanten die gebruik maken van VPC Service Controls. Binnenkort wordt deze beschikbaarheid uitgebreid met een beta-versie voor Cloud IAM, Cloud IAP en Cloud Identity.

Security van infrastructuur
“Het is belangrijk dat onze gebruikers kunnen vertrouwen in de veiligheid van onze cloud-infrastructuur”, aldus Jennifer Lin. “We streven daarom naar een zo betrouwbaar en veilig mogelijk fundament waarop onze klanten hun cloud-omgeving kunnen bouwen.”

Concreet gaat het om de volgende nieuwe features:

• Het verifiëren van de integriteit van VMs wordt eenvoudiger dankzij de beta-versie van Shielded VMs, waarmee veranderingen in de VM-baseline en -runtime kunnen worden gemonitord. Meer over Shielded VMs is te lezen op de website.
• Organisaties die gebruik maken van containerized workloads moeten er zeker van kunnen zijn dat alleen vertrouwde containers worden ingezet op Google Kubernetes Engine. Met Binary Authorization is het mogelijk om signatures te valideren bij de inzet van container images.
• Deze feature kan worden gecombineerd met Container Registry Vulnerability Scanning, om te voorkomen dat images met kwetsbare packages worden ingezet. Container Registry Vulnerability Scanning voert automatisch vulnerability scans uit voor Ubuntu-, Debian- en Alpine-images. Meer over Container Registry Vulnerability Scanning en Binary Authorization is te vinden op de website.
• Cloud Armor is een nieuwe service die applicaties beschermt tegen DDoS-aanvallen, zowel op infrastructuur- als applicatieniveau. Cloud Armor is gebaseerd op dezelfde infrastructuur die wordt gebruikt om Google Search, Gmail en YouTube te beschermen.

Beveiliging van bits
Google is de enige cloud-provider die inactieve data standaard versleutelt. Jennifer Lin: “We weten ook dat veel klanten de behoefte hebben aan aanvullende opties om gevoelige data te beschermen.”

Daarom introduceert Google de volgende nieuwe features:

• Cloud HSM is een managed cloud-hosted hardware security-module (HSM) die binnenkort beschikbaar is in beta. Met deze managed service is het eenvoudiger om gevoelige workloads te beschermen. Cloud HSM maakt het mogelijk om encryption keys te hosten in FIPS 140-2 Level 3-gecertificeerde HSM’s.
• Deze feature werkt nauw samen met Cloud Key Management Services (KMS). Deze service maakt het eenvoudig om keys lokaal (on-premises) te creëren en in de cloud te beheren. Cloud KMS kan worden ingezet in cloud-services als BigQuery, Google Compute Engine, Google Cloud Storage en Dataproc.
• Het recent geïntroduceerde Asylo is een open source-framework dat een nog hoger security-niveau biedt. Asylo beschermt de betrouwbaarheid en integriteit van applicaties en data in een afgeschermde omgeving.

Meer transparantie, inzicht en controle
“Transparantie is een belangrijk onderdeel van vertrouwen”, aldus Jennifer Lin. “Daarom bieden we de transparantie, controle en het inzicht die gebruikers nodig hebben in de cloud.”

Google heeft de volgende aankondigingen op dit gebied:

• Access Transparency voor Google Cloud Platform is nu algemeen beschikbaar. Met Access Transparency hebben gebruikers ongeëvenaard inzicht in onder meer de manier waarop Google data versleutelt. Ook hebben gebruikers bijna real-time inzicht in de situaties waarin Google genoodzaakt is om interactie te hebben met data van gebruikers in de cloud. Meer over access transparency is te vinden op de website.
• Voor G Suite-gebruikers komt er een nieuwe feature in het security center: de investigation tool. Beheerders kunnen hiermee mogelijke security-problemen in hun domein identificeren en actie ondernemen.
• Ook maakt Google het eenvoudiger om data op het gebied van rapportages en audits te verplaatsen van de Admin console naar Google BigQuery.
• Voor Google Cloud Platform-gebruikers werden onlangs vijf nieuwe container security partner-tools toegevoegd aan het Cloud Security Command Center. Hierdoor hebben gebruikers meer inzicht in de risico’s van containers die draaien op Google Kubernetes Engine.
• Voor organisaties die data graag in een specifieke regio willen bewaren, is er nu data regions for G Suite. Hiermee kunnen G Suite Business- en Enterprise-gebruikers aangeven waar inactieve data moeten worden opgeslagen: in Europa, de VS of wereldwijd.

Google is onlangs nog benoemd tot leider in het Forrester Wave™: Public Cloud Platform Native Security, Q2 2018 report. “Daar zijn we blij mee, maar het betekent niet dat we stilstaan”, aldus Jennifer Lin. “We zijn ervan overtuigd dat een veilige infrastructuur het beste is voor iedereen, dus zullen we blijven innoveren op security-gebied.”

Meer informatie over de features en aankondigingen vind je op het Google Blog.