Google持续在云计算以及生产力套装Workspace加入新的安全功能,来提高整体服务的安全性,这次的更新包括让用户能够使用身份平台(Identity Platform)自定义应用程序授权流程,也加入一系列机器学习模型,来预防用户泄露敏感资料。
身份平台是Google的身份和访问管理解决方案,让用户可以在应用程序中添加IAM功能,而现在阻挡功能正式上线,阻挡功能可以让用户自定义应用程序流程,用作Hook或是触发系统,以Cloud Functions中的Node.js程序代码,对特定的身份验证事件设置Hook,并且触发函数来回应这些事件。
Google提到,这项功能可以应用在一些实际的使用场景中,像是当用户的应用程序允许用户以电子邮件地址与密码自助注册,就可以使用阻挡功能来避免用户使用不好的电子邮件域名,又或是当用户注册或是登录到应用程序中,并且获得admin或是premium_user角色分配时,就可以使用阻挡功能来控制应用程序的特权访问。
在内容阻挡功能上,Cloud DLP现在提供了一组应用机器学习模型的文件分类器,可以识别敏感文件类型,Google提到,这项功能可以检验文件中的部分资料,借以筛选出敏感文件,像是源码、账号或是财务文件。Cloud DLP这项功能也可以单独使用,并且与个人信息、企业凭证和机密检查集成使用,更好地理解和保护敏感资料。
Google还扩展了外部密钥管理Cloud EKM支持的服务,去年推出的Cloud EKM,让用户可以使用完全托管在Google云计算架构之外的密钥,来存储和处理Google云计算中的资料。最初Cloud EKM仅支持BigQuery和Compute Engine,而现在扩大支持的范围,Cloud SQL、GKE、Dataflow Shuffle和Secret Manager服务都能使用Cloud EKM。
Google还在VPC服务控制(VPC-SC)加入新的方向性政策,VPC-SC可让管理员在Google托管的服务中定义安全范围(Security Perimeter),以控制服务之间的通信,而现在VPC-SC的方向性控制,则是新的安全资料交换功能,可以让用户在隔离的环境间,配置私密且安全的资料交换方法,政策会从VPC服务控制范围,应用到流入(Ingress)和流出(Egress)控制,可以对既有的安全范围进行配置,也能够创建新的范围。
另外,现在用户在Google Workspace中,可以使用经强化的Vault服务,Google Vault是一个Workspace的信息治理和探索工具,而现在Vault添加支持Google Voice资料,用户可以使用Vault来留存、搜索和导出Google Voice资料,其包括了文本消息、电话日志、语音信件和语音信件转录的文本,通过扩展Vault的功能,用户可以对更多的资料类型进行治理和审核,以确保资料处理符合法遵要求。