Security Command Center 簡稱 SCC,就是資訊安全指揮中心,
是 GCP 的資安和風險管理平台,提供各方面的安全分析和威脅偵測,
就像是給你的雲端環境請了一組資安保全團隊,
24小時不間斷幫助你保護雲端上的系統和資料。
它包含了 Standard、Premium 和 Enterprise 三種版本,
可以針對企業的規模大小和需求,提供不同程度的保護。
如果你是 Premium 或 Enterprise 版本,
當你的 VM 被攻擊,而 Google 未偵測出來而通知你,
則因為攻擊產生的費用,可以向 Google 申請上限為一百萬美元的抵免額。
SCC Standard 是免費的,
而 Premium 是依照保護的資源數量乘上 vCPU小時數計費,
Enterpriese 是每個資源每年309美元。
1.主機備份
(1) 快照 Snapshot
(2) 機器映像檔 Machine Image
2.Disk備份
(1)區域永久磁碟 Regional Persistent Disk
(2) 映像檔 Image
(3) 磁碟 Disk
3.檔案備份
(1) 主機的排程工作 Cronjob
(2) Cloud Storage Fuse
4.雲端資料庫備份
(1) Cloud SQL 自動備份
(2) Cloud SQL 唯讀副本 Read Replica
GCP 的資安功能涵蓋甚廣,各有不同用途,
首先從帳號安全開始,讓你還沒登入 GCP,帳號就已經受到保護;
接著開始觸碰到 GCP 的最前端,就有 DDoS 防禦、WAF 和入侵偵測功能;
在進入應用程式之前,會有嚴格的登入驗證和授權機制;
若你的應用程式在 VPC 網路內,流量就會受到防火牆的控管,
可疑封包也能納入分析;
應用程式不論是在 VM 或 Container,都可以對它們弱點掃瞄;
資料存取受到層層管制,確保不被輕易入侵、破解或外洩;
整體環境還有其他獨立運作的監控機制和政策,
讓你建立重重關卡,滴水不漏。
本文整理目前最常用並且「可以立即使用」的資安功能,
從外部一直到 GCP 最深處,逐步介紹各個功能,
讓你可以建立每一層的防禦工事。
GCP 是用多少算多少,
表面上好像很划算,沒用到的都不會算錢。
但是!
有些你認為你根本沒在用,但 Google 覺得你在用。
然後就默默扣你的錢,
有多少血汗錢就這樣被 Google 扣走了!
所以這邊列出容易被忽略的費用項目,
幫助大家的薪水不要被 Google 偷走。
Cloud Run 根本能不用自己的憑證,
必須要接到 Load Balancer,
本文詳細介紹設定過程。
Cloud Run 接 DNS 的功能非常簡單,
除了幫你把網域解析到 Cloud Run 的網址,
還幫你做 HTTP Redirect 到 HTTPS,
你不需要額外使用 Load Balancer 或 Nginx 來 Redirect,
至於 HTTPS 不是要用憑證嗎?
有的,GCP 一樣提供免費而且自動續約的憑證,
而且是 Google 自己的根憑證機構發行的憑證,
整個超方便!
當然你也可以使用自己的憑證喔!
這裡提供設定 DNS 名稱解析的方法。
Cloud Run 是一種,你只要做好 Container Image,
上傳到 GCP Arfitact Registry 之後,就可以直接部署的好東西。
但是如果你想要調整任何一點小地方的話,
你就是要重做你的容器映像檔 Container Image,所以就很麻煩。
這裡提供的方法是,把你的設定檔放在 Secret Manager,
然後 Cloud Run 每次啟動時,會自動去讀 Secret,
這樣就能把最新的設定檔吃進 Container,
你就不用一天到晚一直重新建立 Container Image了。
Cloud Run 是無狀態的, 代表它
Cloud IAP 簡單介紹, 防火牆不用全開,讓你安全又方便連線到虛擬機器
現在 GCP 改善了,你不用再做自己的 SSH Key了,
你可以只允許 Cloud IAP 的 IP Range,
不用 Allow 全世界的 IP,也不用 Allow 自家的 IP。
以後再也不用自己做 SSH Key了,實在是非常方便呢!!
