Google Cloud分享安全云数据仓库构建蓝图

Google Cloud近日更新了自己了安全蓝图组合，新增的Secure Data Warehouse Blueprint安全数据仓库蓝图让客户可以自由实施该蓝图以保护他们的云数据。

Google一系列安全蓝图是把最佳实践和指引进行组合，帮助客户在云部署中构建更高的安全性。今天发布的Secure Data Warehouse Blueprint安全数据仓库蓝图，是建立了一个可操作的框架，旨在保护云数据仓库中存储、传输或使用业务数据时的安全性、机密性和完整性。

Google安全产品高级经理Andy Chang、安全与合规客户工程师Erlander Lo在一篇博文中解释说，该蓝图采用了一种独特的分层网络安全方法，旨在最大限度上减少管理员需要管理的基础设施数量，从而减少黑客的潜在攻击面。

该蓝图包括四层，首先是一个“登陆区域层”，用于处理获取批数据或者流数据，其次是一个“数据仓库层”，是对数据进行存储和去标识化，此外还有“分类和数据治理层”管理加密和数据分类，“安全态势层”有助于检测、监控和响应。

Chang和Lo表示，该蓝图将以多种方式让客户从中受益，重点是提供强大的基线安全性和灵活性，主要优势之一是它让团队使用“基础架构即代码”技术来分析他们的安全控制措施，并将其与他们构建、部署和操作数据系统的要求进行对比，以及简化监管和合规审查。

这种分层次的安全方法可以简化向安全、风险和合规团队展示已经实施的安全控制。Google参考价格带来的另一个好处是，它允许用户监控和定义数据可以在哪些位置流动、不能在哪些位置流动，可以创建边界，将数据限制于特定项目和服务之内，从而最大程度上降低数据泄露的风险。

此外这还可以进一步加强控制，例如防止使用外部IP访问数据，确保传输中的数据仅流经受信任的网络。该蓝图提供了细粒度的身份和访问管理策略，可以根据不同数据集的敏感程度限制对其的访问。

此外，该蓝图有助于符合复杂的合规要求，例如用户可以通过Google Cloud Data Loss Prevention的加密转换工具满足数据最小化的要求，使用Google Cloud HSM管理的密钥处理数据加密。

该蓝图还描述了企业如何使用像Google Cloud Security Command Center这样的安全工具来进行威胁检测和安全健康分析，让企业可以可以持续监控蓝图涵盖的每个项目，以最大程度上降低配置错误的风险。

Google表示，Secure Data Warehouse Blueprint已经经过了谷歌网络安全行动团队和第三方安全团队的审查，客户现在可以下载蓝图，或者通过可部署的Terraform下载现成的安全数据仓库。