Skip to main content
NetApp Solutions
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

Google Cloud 中的 Google Cloud NetApp Volumes 如何保護您的資料安全

貢獻者
PDF

Google Cloud 中的 Google Cloud NetApp Volumes 提供多種原生保護資料的方法。

安全的架構與租戶模式

Google Cloud NetApp Volumes 將服務管理(控制面板)和資料存取(資料層)分段到不同的端點,藉此在 Google Cloud 中提供安全的架構"「 Google Cloud NetApp Volumes 架構」",使兩者都不會影響其他端點(請參閱一節)。它使用 Google "私有服務存取" ( PSA )架構來提供服務。此架構可區分由 NetApp 提供及營運的服務製作商,以及客戶專案中虛擬私有雲( VPC )的服務消費者,其中主控想要存取 Google Cloud NetApp Volumes 檔案共享區的用戶端。

在此架構中,租戶(請參閱一節"「租賃模式」")定義為 Google Cloud 專案,除非使用者明確連線,否則這些專案之間完全隔離。租戶可以使用 Google Cloud NetApp Volumes Volume 平台,將資料量,外部名稱服務和解決方案的其他重要部分完全隔離。由於 Google Cloud NetApp Volumes 平台是透過 VPC 對等連接而連線,因此該隔離也適用於該平台。您可以使用共享 VPC 在多個專案之間共享 Google Cloud Volumes Volume ( Google Cloud NetApp Volume Volume Volume Volume Volume Volume )(請參閱一節"「共享VPC」")。您可以將存取控制套用至SMB共用和NFS匯出、以限制可以檢視或修改資料集的人員或內容。

針對控制面板提供強大的身分識別管理功能

在進行 Google Cloud NetApp Volume 組態的控制層面中,身分識別管理是使用來管理 "身分識別存取管理(IAM)"。IAM是一項標準服務、可讓您控制Google Cloud專案執行個體的驗證(登入)和授權(權限)。所有組態都是透過使用 TLS 1.2 加密的安全 HTTPS 傳輸,透過 Google Cloud NetApp Volumes API 來執行,並使用 JWT Token 來執行驗證,以增加安全性。Google Cloud NetApp Volumes 的 Google 主控台 UI 可將使用者輸入轉譯為 Google Cloud NetApp Volumes API 呼叫。

安全強化:限制攻擊面

有效安全性的一部分是限制服務中可用的攻擊面數量。攻擊面可能包括各種內容、包括閒置資料、飛行傳輸、登入及資料集本身。

託管服務可移除設計中固有的部分攻擊面。如本節所述,基礎架構管理"「服務營運、」"由專屬團隊處理,並自動減少實際接觸組態的次數,有助於減少蓄意和非蓄意錯誤的數量。網路已被隔離、因此只有必要的服務才能彼此存取。加密技術已被納入資料儲存設備,只有資料層面需要 Google Cloud NetApp Volumes 管理員的安全注意。藉由將大部分的管理隱藏在API介面之後、可藉由限制攻擊面來實現安全性。

零信任模式

過去、IT安全理念一直是信任、但卻是驗證、而且只是仰賴外部機制(例如防火牆和入侵偵測系統)來減輕威脅。然而、攻擊與入侵事件演變成透過網路釣魚、社交工程、內部威脅及其他驗證方法、規避環境中的驗證、進而進入網路並造成嚴重破壞。

零信任已成為安全性的新方法、目前的宗旨是「在驗證一切的同時、不信任任何事物」。 因此、預設不允許任何存取。這項強制原則有多種執行方式、包括標準防火牆和入侵偵測系統(IDS)、也有下列方法:

  • 強式驗證方法(例如AES加密的Kerberos或JWT權杖)

  • 單一強身分識別來源(例如Windows Active Directory、輕量型目錄存取傳輸協定(LDAP)和Google IAM)

  • 網路區隔和安全的多租戶共享(預設只允許租戶存取)

  • 以最低權限存取原則進行精細的存取控制

  • 專屬且值得信賴的小型專屬系統管理員清單、提供數位稽核與書面記錄

在 Google Cloud 中執行的 Google Cloud NetApp Volumes 採用「完全信任,驗證一切」的策略,遵循零信任模式。

加密

加密閒置資料(請參閱一節 "「閒置時的資料加密」")搭配NetApp Volume Encryption(NVE)和線上使用XTS-AES-256密碼 "「SMB加密」" 或NFS Kerberos 5p支援。瞭解跨區域複寫傳輸會受到 TLS 1.2 加密的保護、讓您高枕無憂(請參閱連結: ncvs-GC 資訊安全考量事項與攻擊面。 html# 偵測、防範及減輕勒索軟體、惡意軟體和病毒 # 跨區域複寫 [ 「跨區域複寫」 ] )。此外、Google網路也提供加密通訊(請參閱一節 "「傳輸中的資料加密」")提供額外的保護層、防範攻擊。如需傳輸加密的詳細資訊、請參閱一節 "「Google Cloud Network」"

資料保護與備份

安全性不只是預防攻擊而已。這也與我們如何在攻擊發生時或發生時從攻擊中恢復有關。此策略包括資料保護與備份。Google Cloud NetApp Volumes 提供方法,可在發生中斷時複寫至其他地區(請參閱一節"「跨區域複寫」"),或資料集受到勒索軟體攻擊的影響。也可以使用執行非同步資料備份至 Google Cloud NetApp Volumes 執行個體以外的位置"Google Cloud NetApp Volumes 備份"。透過定期備份、降低安全事件的時間、節省成本、並使系統管理員感到焦慮。

利用領先業界的Snapshot複本、快速緩解勒索軟體

除了資料保護與備份之外, Google Cloud NetApp Volumes 還支援不可變的 Snapshot 複本(請參閱一節"「可永久保存的Snapshot複本」"),這些複本可"「服務營運」"在發現問題後數秒內,以最少的中斷時間從勒索軟體攻擊中恢復(請參閱一節)。恢復時間與影響取決於Snapshot排程、但您可以建立Snapshot複本、在勒索軟體攻擊中提供最少一小時的差異。Snapshot複本對效能和容量使用率的影響微乎其微、是保護資料集的低風險高報酬方法。