當企業將資料上雲時，確保資訊安全是首要任務，由於雲端儲存可提供高度擴展和檢索大量數據等功能，可降低成本與營運負擔，是近年熱門的儲存方式。而 Google 擁有世界上最大的專用網路之一，在 Cloud Storage 也內建傳輸與靜態加密、加密金鑰管理等功能，以下四個方法能夠大大降低資料外洩的風險，達到保護企業機密的最佳安全實踐。

• 使用組織策略集中管理，並定義合規性邊界
  Cloud Storage 與 Google Cloud 同樣都遵循資源分層結構，還能使用資料夾進一步區分 bucket 內的專案資源，遵循以下兩點建議可以增強安全防護：

• 限制分享
  可防止將內容資訊分享給外部人員，若有人嘗試將 bucket 的內容經由公共網路傳輸出去，也能立即阻擋。

• Uniform bucket-level access 存取權限
  簡化權限並協助管理大量的存取權，防止意外的的資訊曝光。

• 啟用 Cloud IAM 簡化存取控制
  Cloud Storage 對於Bucket和檔案提供了兩種授權的方式，一種是 Cloud IAM 和 Access Control Lists (ACLs) ，若想存取某個資源，只要擁有其中一項權限即可完成。

授權個別 ACL 的單獨存取權隨著 bucket 的資料量增加，管理個別 ACL 的成本也會增長，要確保每個 bucket 中的所有資料難度更高。您可以想像一下，有天要查看單一使用者的訪問權限是否正確，隨著檔案數量的成長，檢查的困難度也會跟著提升。因此，我們建議使用 Cloud IAM 來控制對資源的存取，Cloud IAM 在 Google Cloud 應用中很廣泛，可統一管理 Cloud Storage 數據的存取控制，啟用本項功能時，在 bucket 層級中授予的權限會自動套用在 bucket 的所有資料。

• 如果無法使用IAM策略，請考慮使用其他替代方案來ACLs
  Google Cloud 發現，客戶有時會因為其他理由繼續使用 ACLs，像是多雲架構或是分享資源給個別的用戶，但並不建議將終端用戶置於 ACLs上，可考慮以下替代方案：

• Signed URLs：提供一串連結，並且您可以再此連結設上一段訪問時間限制。
• Separate buckets：如果你分享的檔案都屬於同一個ACLs，建議將他們歸納到一個Bucket中，並且授予Bucket-level權限即可。
• IAM conditions：如果您的應用在命名中使用共享前綴，則還可以根據這些前綴使用IAM條件來區分訪問。
• Delegation Tokens：可以使用 Security Token Service的方式授予Cloud Storage Bucket和共享前綴。

• 在服務帳戶中使用HMAC金鑰，避免用一般用戶帳戶
  Hash-based message authentication key( HMAC) 是一種憑證，用於建立 Cloud Storage 的請求中包含的簽名。通常使用HMAC金鑰時我們會建議客戶使用的是服務帳戶(Service Account)取代個人帳戶(User Account)，可有效防堵個人帳戶的安全疑慮，還能避免該員工離職而造成帳戶無法存取，降低企業機密資料中斷的風險。

為了進一步提高安全性，您也可參考下列建議：

• 定期更換金鑰。
• 授予服務帳戶完成任務的最小訪問權限（即最小特權原則）。
• 如果仍在使用 V2 簽署驗證（或已轉移到 V4 簽署驗證，這將自動實施最長一周的時間限制），請設置合理的簽名到期時限。

對企業而言，資料上雲已是趨勢，但資安仍是最關鍵的課題，其實只要雲端系統設定的安全性足夠，按照 Google Cloud 的建議指南，對企業營運效能會有顯著的提升。宏庭科技身為 Google Cloud 最高等級合作夥伴，擁有專業架構師和維運團隊，能幫助企業免於資安威脅，成功數位轉型。

資料來源：Google Cloud Blog