04 октября 2017

Собственные роли безопасности в Google Cloud Platform


Google дал возможность создавать администраторам Google Cloud Platform свои собственные профили (роли) безопасности, помимо сотен уже имевшихся предопределённых ролей, рекомендуемых производителем.

Поскольку облачная инфраструктура Google Cloud Platform полностью защищена от возможности получить доступ на уровне внутренних потоков данных и файлов (даже там, где файлы реально существуют), обеспечение безопасности данных фактически сводится к ограничению возможных операций при работе с интерфейсами доступа к данным, т.е. фактически к набору функциональных разрешений безопасности приложений и сервисов.

На сегодня таких элементарных разрешений приложений и сервисов уже существует более 1200 штук и это число постоянно растёт, как в связи с выходом новых облачных сервисов, так и в связи с увеличением функциональности уже имеющихся сервисов и приложений.

Ввиду вышеизложенного, назначать отдельные элементарные разрешения каждому пользователю задача совершенно непосильная для обычного администратора. Именно по этой причине Google ввёл понятие роли (профиля безопасности), которая фактически является именованным множеством элементарных разрешений.


В целях упрощения администрирования Google уже создал множество предопределённых ролей с говорящими названиями, куда включил разумное количество разрешений. Однако, если вы считаете, что вам требуется создать свой уникальный профиль безопасности, отличный от стандартного, то теперь вы сможете собрать его самостоятельно из элементарных ролей и затем назначать эту роль любому аккаунту Google.

Например, вы работаете в финансовой компании и должны периодически проходить внешний аудит на предмет безопасности ИТ инфраструктуры. Поскольку целью аудита ИТ безопасности не является проверка финансовых показателей, то вы хотите предоставить доступ аудиторам только к логам облачной СУБД Cloud SQL, но не хотите предоставлять доступ к счетам клиентов и иным финансовым данным. В этом случае, вы можете создать свою роль безопасности на основе предопределённой роли Cloud SQLAdmin, исключив из неё доступ к данным таблиц внутри базы данных, но оставив доступ к логам безопасности.

Комментариев нет: