Google雲端更新其防火牆服務,加入全球(Global)網路防火牆政策、地區(Regional)網路防火牆政策,以及IAM治理標籤(IAM-governed Tag)新功能,官方提到,這些功能讓用戶可以藉由全球分散式雲端原生防火牆服務,達到零信任網路狀態。

過去Google在組織以及資料夾層級,提供階層防火牆政策,而現在Google要引入全新的網路防火牆政策結構,其區分為全球以及地區兩種,官方提到,新結構將改進過去的VPC防火牆規則結構。與階層網路防火牆政策類似,新的政策結構也是扮演防火牆的規則容器角色,一旦政策與VPC網路相關聯,網路防火牆政策中定義的規則便會強制執行。

同一個網路防火牆政策可以關聯多的VPC網路,但每個VPC網路只能有一個全球網路防火牆政策,每一個地區關聯一個地區防火牆政策。全球網路防火牆政策提供一個全球防火牆配置結構,來符合Google雲端VPC網路分布全球的特性,適用於部署VPC網路所有Google雲端地區的工作負載,而地區網路防火牆政策就只針對單一目標地區,因此用戶在使用時要指定目標區域,防火牆配置資料就只會應用在特定地區的工作負載,不會傳播到其他Google雲端地區。

而新增的IAM治理標籤又被稱為資源管理器標籤,是一種新型的標籤資源,具有經強化的安全性,可用於像是虛擬機器執行個體等各種Google雲端資源。新的網路防火牆政策能夠與IAM治理標籤整合使用,全球與地區網路防火牆政策都支援IAM治理標籤,作為微切分(Micro-Segmentation)的手段。

與之前的網路標籤不同,IAM治理標籤經IAM權限嚴格控制,所以不會有未經授權人員存取的風險,藉由IAM權限,IAM治理標籤允許用戶根據邏輯分組定義個別的網路防火牆政策,並且透過精細的授權控制,在組織內委派群組管理。

透過這些新功能,企業就可以將虛擬機器分配給邏輯名稱,並委派給像是應用程式開發人員、資料庫管理員或營運團隊等組織內其他團隊。

Google解釋,因為過去網路安全和微切分的原因,建議使用VPC網路規則、網路標籤和服務帳戶保護工作負載,但因為網路標籤不包含內建的IAM治理,因此可能被添加到任何虛擬機器執行個體中,進而存在內部威脅參與者濫用標籤的可能性。

即便服務帳戶有更好的IAM控制,但每個虛擬機器只能關聯一個服務帳戶,這限制了多維度工作負載的靈活存取要求,而且要更改服務帳戶,就要關閉並重新建立虛擬機器,對於生產工作負載並不理想。

因此Google網路防火牆服務的更新,不只可以簡化規則管理,並且讓企業根據需求,實施更細緻的IAM控制,並在同一個專案中跨VPC網路共享和附加防火牆配置,大幅簡化配置和管理工作。

熱門新聞

Advertisement