Google Cloud 架构框架中的本文档提供了管理资产的最佳实践。
资产管理是业务需求分析的重要组成部分。您必须知道您拥有哪些资产,并且必须充分了解所有资产、资产的价值以及与其相关的所有关键路径或流程。您必须先拥有准确的资产库存,然后才能设计任意类型的安全控制措施来保护您的资产。
为了管理安全突发事件并满足组织的监管要求,您需要拥有准确且最新的资产库存,该库存将提供用以分析历史数据的方法。您必须能够跟踪资产,包括其风险暴露随时间变化的情况。
迁移到 Google Cloud 意味着您需要修改资产管理流程以适应云环境。例如,迁移到云端的一个好处是可以提高组织快速扩缩的能力。但是,快速扩缩的能力可能会导致影子 IT 问题,也就是说您的员工可能会创建未经正确管理和保护的云资源。因此,您的资产管理流程在为员工提供足够的灵活性来完成工作的同时,也必须提供适当的安全控制措施。
使用云资产管理工具
Google Cloud 资产管理工具专门针对我们的环境和顶级客户使用场景而量身定制。
其中一个工具是 Cloud Asset Inventory,它为您提供有关资源当前状态的实时信息以及 5 周的历史记录。通过使用此服务,您可以为各种 Google Cloud 资源和政策获取组织范围的清单快照。然后,自动化工具可以使用快照进行监控或强制执行政策,或者归档快照以进行合规性审核。如果您要分析对资产的更改,则资产清单还可让您导出元数据历史记录。
如需详细了解 Cloud Asset Inventory,请参阅用于响应资产变化的自定义解决方案和检测控制。
自动执行资产管理
Automation 允许您根据指定的安全要求快速创建和管理资产。您可以通过以下方式自动执行资产生命周期的各个阶段:
- 使用 Terraform 等自动化工具部署您的云基础架构。Google Cloud 提供了企业基础蓝图,可帮助您部署符合安全最佳实践的基础设施资源。此外,它还会在 Cloud Asset Inventory 中配置资产更改和政策合规性通知。
- 使用 Cloud Run 和 Artifact Registry 等自动化工具部署您的应用。
监控偏离合规性政策的情况
资产生命周期的所有阶段都可能会出现偏离政策的情况。例如,创建的资产可能没有适当的安全控制措施,或者其特权可能被提升了。同样,资产可能会在没有遵循适当的服务终止流程的情况下被废弃。
为了帮助避免这些情况,我们建议您监控资产偏离合规性的情况。您需要监控的资产集取决于您的风险评估结果和业务需求。如需详细了解如何监控资产,请参阅监控资产更改。
与现有资产管理监控系统集成
如果您已经在使用 SIEM 系统或其他监控系统,请将您的 Google Cloud 资产与此类系统集成。集成可确保您的组织可通过单一界面全面了解所有资源,而无论其所处环境如何。如需了解详情,请参阅将 Google Cloud 安全数据导出到 SIEM 系统和 Cloud Logging 数据导出场景:Splunk。
使用数据分析来丰富监控功能
您可以将清单导出到 BigQuery 表或 Cloud Storage 存储桶以进行额外的分析。
后续步骤
详细了解如何使用以下资源管理您的资产:
- 管理身份和访问权限(本系列的下一个文档)
- 确定您的 Google Cloud 着陆区的资源层次结构