https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

解決方案

Google保護軟體供應鏈、倡議零信任並改善安全性作業

2022 / 06 / 06
編輯部
Google保護軟體供應鏈、倡議零信任並改善安全性作業
防範網路安全風險向來是所有組織的首要任務。在持續發展隱形安全技術的旅程中,Google提供相關解決方案,讓政府與企業無論是使用Google雲端平台,或是透過軟體式服務 (SaaS) 產品,都能將Google的安全性功能導入地端部署及其他雲端環境中,進而享有更安全的使用體驗。

保護軟體供應鏈

修補開放原始碼軟體中的安全漏洞,往往像是在玩高風險的打地鼠遊戲:修正了一個漏洞,接著又有兩個冒出來。在這樣的情況下,也說明了相關的研究顯示:在 2021 年,以開放原始碼軟體 (Open Source Software, OSS) 供應商為目標的網路攻擊比去年同期增加了 650%。

而全球各地的政府也注意到了這個現象,因為利用廣泛部署的程式碼發動網路攻擊的事件,在醫院與發電廠等重要基礎建設機構都大幅增加。美國與世界各地政府也紛紛針對軟體開發生命週期和軟體供應鏈提出新的要求和標準。上個月 Google 便與其他業界領袖、開放原始碼安全性基金會 (OpenSSF) 和 Linux 基金會共同召開會議,探討如何進一步推動 一月白宮開放原始碼安全性高峰會期間提出的計畫。

Google為了找出 OSS 安全漏洞所持續投入的努力,無論是在建構或運作規模上都相當龐大,非任何機構可以比擬。Google不斷透過模糊程式碼工具處理 550 個最常用的開放原始碼專案,截至 2022 年 1 月為止,Google已透過這項程序發現超過 36,000 個安全漏洞。

為了進一步履行強化 OSS 軟體供應鏈的承諾,Google推出全新的 Assured Open Source Software (Assured OSS) 服務。有了 Assured OSS 後,不論是企業或公部門的開放原始碼軟體使用者,都能將 Google 使用的 OSS 套件融入自家開發人員的工作流程中。Assured OSS 服務囊括的套件具備以下特點:
  • 系統會定期對套件進行掃描、分析及模糊測試,以找出安全漏洞  
  • 具有能整合容器/Artifact Analysis 資料的對應增強型中繼資料
  • 以 Cloud Build 建構,符合 SLSA 規範驗證的證據
  • 通過 Google 驗證
  • 透過由 Google 保護的 Artifact Registry 發布
Assured OSS 能協助組織減少在開放原始碼依附元件安全管理上的開發、維護及執行複雜程序的必要性。這項服務預計於 2022 年第三季推出預先發布版。

採用零信任架構

隨著美國透過聯邦策略推動政府機關採用零信任架構,英國國家網路安全中心也提出零信任設計原則,採用零信任架構的做法已刻不容緩。在前述的原則中,有許多都是Google十多年來一直在倡議零信任模型 BeyondCorp 的基本要素。

在零信任存取機制方面,Google已提供 BeyondCorp Enterprise 服務;如今Google更推出全新解決方案 BeyondCorp Enterprise Essentials,協助組織快速著手準備零信任架構導入作業。BeyondCorp Enterprise Essentials 兼具 SaaS 應用程式或任何其他透過 SAML 連接的應用程式的情境感知存取權控管機制,以及資料遺失防護、惡意軟體與網路詐騙保護措施、網址過濾等威脅防護與資料保護功能。
這項解決方案已整合至 Chrome 瀏覽器,能以簡單且有效的方式保護工作團隊,特別是那些使用「自攜裝置 (Bring Your Own Device)」的延伸工作團隊或使用者。管理員也可以透過 Chrome 資訊主頁,掌握未受管理的裝置上是否有不安全的使用者活動。

Google宣布,BeyondCorp Enterprise 應用程式連接器和用戶端連接器將同時於 2022 年第三季正式發布,讓大家有更多保護自家獨特環境的選擇。應用程式連接器可簡化連線程序,讓使用者在不必開啟防火牆或設定站對站 VPN 連線的狀態下,也能連至 Azure 或 AWS 等其他雲端環境中的應用程式。用戶端連接器則可讓使用者透過零信任機制,存取託管於地端部署或其他雲端平台的非 HTTP 複雜型用戶端應用程式。

雲端管理

Google的雲端系統是以命運共同體模式在運作,Google更會主動關注合作夥伴的安全性狀態。這其中的關鍵在於將安全性機制融入Google的核心平台中,並加入可讓大家根據自身風險狀況設定的安全性控制選項。為了幫大家省去要部署哪些控制選項、或如何鞏固安全性基礎的煩惱,Google推出Security Foundation 解決方案,協助企業能更輕鬆地採用 Google Cloud 的安全性功能。

這項解決方案遵循 Google Cloud 網路安全行動團隊的規範指引,且已編入Google的安全基礎藍圖。大家可以按自身需求設定資料保護、網路安全、安全監控,以及更多控制選項。

此外,Google的雲端用戶還能獲得下列好處:
  • Google將為安全性和風險管理平台 Security Command Center (SCC) 加入全新的自訂偵測功能。Security Health Analytics 自訂模組可讓使用者能根據自身需求新增偵測規則及執行設定檢查。舉例來說,如果 Cloud Key Management Service (Cloud KMS) 加密金鑰超過 90 天未輪替,就會觸發 Security Health Analytics 預設功能並產生偵測結果。現在使用者更可以根據自身需求新增自訂模組,這樣一來,如果加密金鑰超過指定時間 (例如 30 天) 仍未輪替,系統就會產生偵測結果。Event Threat Detection 也提供了可設定的偵測模組,讓使用者設定參數,定義應觸發系統產生偵測結果的事件。

    舉例來說,Event Threat Detection 預設以Google建立的已知惡意 IP 位址清單為依據,如偵測到與這些位址連線的證據,即會產生威脅偵測結果。使用者也可以使用自己的可疑 IP 位址清單來設定模組,一旦發生和連線清單中任何 IP 位址有關的事件,SCC 就會通報威脅偵測結果。
     
  • Google正在擴大 Assured Workloads 的規模。這項產品能讓受管制的工作負載在 Google Cloud 的基礎架構中大規模且安全地運作。此外,Google將推出多項支援聯邦風險與授權管理計畫 (FedRAMP) 中級和 聯邦風險與授權管理計畫 (FedRAMP) 高級標準的全新服務,供Google的美國公部門合作夥伴及其民間承包商使用。Google也預計在今年推出更多服務,這些服務可讓受規範的用戶享有跟Google的商業用戶一樣,使用超大規模雲端服務的優勢。 
     
  • Google也在 Workload Identity 聯盟新增 SAML 支援服務,讓使用 SAML 型識別資訊提供者的用戶能減少使用長期服務帳戶金鑰的次數。

​改善安全性作業

Google建構的安全性作業套件可配合使用者的需求,兼顧使用者在雲端和企業內部執行的工作,無論資源類型、規模大小,都能妥善處理,強化使用者偵測威脅、調查及回應的能力。

Google最近為美國公部門推出了 Autonomic Security Operations (ASO)。這項著重於威脅管理的解決方案符合 14028 號行政命令以及行政管理和預算局 M-21-31 備忘錄的目標和要求。

ASO 採用 Google Cloud 的安全性作業套件,協助美國公部門組織大規模管理網路安全遙測資料,事件紀錄層級 (Event Logging Tier) 更符合白宮指南的標準,還能加快偵測及回應速度、提高工作效率。

有了 Google Chronicle 中全新的情境感知偵測功能,這些來自配置管理資料庫(Configuration Management Database, CMDB)、身分與存取權管理 (Identity and Access Management, IAM) 和資料遺失防護 (Data Loss Prevention, DLP) 等可靠來源的遙測、情境、關係和安全漏洞等資訊,即可做為額外的「單一」偵測事件來使用。這類脈絡化資訊能協助使用者提高偵測準確度、優先處理現有警示,並加快調查速度。

最新發布的 Siemplify SOAR 可協助安全團隊從傳統安全性作業中心升級,並提供建構模塊,讓客戶能打造出現代化無所不在的安全性作業機制。Google的新功能有助於提升服務供應商與終端使用者間的協作透明度,讓每個角色都能存取與自身相關的資料,以確保他們能迅速回應,也能讓用戶制定能更輕鬆地推行自動化作業的計畫。

Google也推出 Apigee Advanced API Security 公開預先發布版,以因應應用程式介面(Application Programming Interface, API)安全性的兩大問題:API 配置錯誤以及不良機器人偵測。組織可以使用 Advanced API Security 確認 API Proxy 是否符合自身安全性標準,避免配置出現安全漏洞的可能。這項解決方案也可在 API 配置錯誤或遭濫用時向使用者傳送警示,並提供建議來改善組織的 API 安全性狀態。最後,Advanced API Security 還會向管理員傳送通知、在發現可疑用戶端活動時發出警示、封鎖或標記惡意 API 通知,也能讓安全團隊更輕鬆地去識別及導入需要變更的政策。