谷歌云旨在通过推出秘密发现工具集来查找和监控存储在组织环境变量中的明文凭据,从而提高组织的安全性。这项新的安全计划是谷歌敏感数据保护服务的一部分,将免费提供。这个想法是通过帮助消除与可能在没有适当加密的情况下存储的隐蔽明文凭据相关的漏洞来加强任何使用 谷歌云的组织的安全骨干。
谷歌云是谷歌提供的一套云计算服务。这些服务包括基础架构即服务、平台即服务和软件即服务产品,涵盖计算、存储、数据库、机器学习、数据分析等领域。谷歌云提供了可扩展且灵活的云基础架构,企业和开发者可以使用它来构建、部署和扩展应用。
谷歌云的高级经理和产品经理 Scott Ellis 和 Tim Wingerter 分别强调了以明文形式存储凭据所带来的风险。这些风险包括将您的凭据暴露给未经授权的用户,包括潜在的威胁参与者。此外,可以收集和传播保护不当的凭据,并可能在各种系统中暴露,从而增加了攻击它们的途径。
为了进一步安全地管理存储的凭据,谷歌云建议使用 Secret Manager 等工具。Secret Manager 为密码和 API 密钥等机密的使用添加了加密和授权。但是,确定哪些凭据已以明文形式存储和公开可能很困难。谷歌云的敏感数据保护产品中推出的秘密发现工具旨在通过查找和监控存储在环境变量下的明文凭据来解决这一挑战。
启用秘密发现功能后,敏感数据保护将持续监控违规行为,并直接向谷歌云内置的安全和风险管理解决方案安全指挥中心报告违规行为。
可以在项目或组织级别激活秘密发现服务,以提供全面和持续的覆盖。发现包含机密的任何环境变量都将被标识为 CIS Benchmarks 安全合规性和态势报告过程的一部分。如果发现暴露凭据的证据,则会将其作为漏洞报告给安全命令中心。
这种更安全地访问机密的新方法强调了集中式机密管理的重要性。这样可以更轻松地管理访问控制、审核和访问日志。谷歌云还允许用户选择两种方法来安全地访问函数中的 API 密钥和密码等机密信息。用户可以使用将密钥挂载为卷的方法,也可以将密钥作为环境变量安全地传递。
谷歌云用户可以直接在控制台界面中启用密钥扫描,从而立即开始使用密钥发现功能。此功能作为敏感数据保护的一部分免费提供,可在标准层和高级层中与 Security Command Center 配合使用。谷歌云确认 Security Command Center 标准层是免费提供的。
