NYC Cyber Command:大规模地保护纽约市数字服务的安全
关于 NYC Cyber Command
NYC Cyber Command 是一个遵照纽约市行政命令成立的中央指挥组织,负责领导纽约市的网络防御工作,与整个城市政府机构开展协作,以防止、检测、响应网络威胁,并开展威胁发生后的恢复工作。
您遇到了哪些挑战?请与我们分享。我们会竭诚为您提供帮助。
与我们联系New York City Cyber Command 在 Google Cloud Platform 上构建了一个弹性出色、高度安全且扩缩能力极强的数据流水线,旨在帮助网络安全专家更快地检测和应对威胁。
Google Cloud 带来的成效
- 利用高性能云服务帮助更快地检测威胁
- 加快 100 多个城市机构的纳管速度
- 助力小型团队更加安全地管理云基础架构
- 提供近乎无限的可伸缩性,支持分析 PB 级数据
- 为城市机构和居民提供最高价值
处理和分析数据的速度加快了 10 倍,并拥有扩缩和增长能力
纽约市是美国人口数量最多的城市,也是全球文化、金融和媒体之都之一。这是一个独具特色的城市,吸引着世界各地的游客蜂拥而至,犹如多元文化的大熔炉,联合国的总部以及无数个塑造着世界的其他组织的总部都设立在此。但也正是这些与众不同之处,让这座城市成为威胁发起者的首要目标,因此这座城市一直在积极主动地应对这方面的风险。
2017 年,市长 Bill de Blasio 建立了 New York City Cyber Command 中心。这是一个集中式组织,旨在保护每一名纽约市民所依赖的重要服务,让居民可以安心享受更安全的数字化生活。除了威胁管理和全天候安全运维中心之外,NYC Cyber Command 还拥有多个专家团队,他们专注于安全科学、软件开发以及城市技术,致力评估 IoT、ICS 和其他智慧城市技术对安全产生的影响。
为了帮助城市系统抵御网络威胁,NYC Cyber Command 与各城市机构合作,确保系统以高度安全的方式设计、构建和运行。如果这些系统遭到入侵,并进而影响到城市提供的重要服务(例如公共援助或医疗服务),那么对于纽约市民中最为弱势的群体而言,后果可能就是灾难性的。
因此,除了增强城市系统安全性外,NYC Cyber Command 还在开发一个具备出色安全性、弹性和可伸缩性的云基础架构,以帮助网络安全专家更快地检测和缓解威胁。
我们采用了云端优先、零信任的环境,因为它满足了我们的安全性和可靠性需求。我们的职责不仅仅是向居民提供服务,更要以创新的方式提供这些服务,保证我们工作的高效率和有效性。
—Colin Ahern,NYC Cyber Command 安全科学副首席信息安全官为全面支持纽约市政府采用的各类技术,NYC Cyber Command 遵循云端优先的策略,使用 Google Cloud Platform (GCP)、基础架构即代码,以及依托于多年潜心打造零信任网络的的经验构建的 BeyondCorp 安全模型。NYC Cyber Command 使用开源平台和不限定提供商的基础架构作为代码工具,帮助确保各类服务能够安全可靠地运行,并确保公务人员能够培养可在整个城市的技术企业中使用的知识与技能。
NYC Cyber Command 安全科学副首席信息安全官 Colin Ahern 说:“我们采用了云端优先、零信任的环境,因为它满足了我们的安全性和可靠性需求。我们的职责不仅仅是向居民提供服务,更要以创新的方式提供这些服务,保证我们工作的高效率和有效性。”
可伸缩的安全数据流水线
为了提高可伸缩性,NYC Cyber Command 基于 GCP 代管式服务构建了其数据流水线。Cloud Pub/Sub 作为主要入口点,从各机构的云端和本地数据源中提取数据,以便执行大规模分析。在事件发布到 Cloud Pub/Sub 之后,拉取订阅让事件数据可供在 Cloud Dataflow 上运行的事件解析器以及其他服务使用,从而将正确格式的数据提供给分析师和其他下游用户。在某些情况下,推送订阅会将事件传递给在 Cloud Functions 中运行的独立应用。
NYC Cyber Command 软件工程师 Noam Dorogoy 表示:“分析日志和处理安全性事件需要大量的处理能力,我们的数据流水线提供了一整套出色的无服务器工具。我们可以并行运行这些要求严苛的过程,而且不需要在本地环境中设立任何设施,整个过程非常便捷,对我们大有助益。”
“作为网络安全组织,我们需要即时获得数据。只要发生些许延迟,就会错失关键时机。借助这些工具,我们就获得了超快的处理能力,便于我们快速深入、全面地了解安全性事件,并为正确的团队提供正确的信息。”
—Noam Dorogoyer,NY Cyber Command 软件工程师借助 BigQuery 更快地识别威胁
NYC Cyber Command 能在正确的时机向正确的团队提供正确的信息,这种能力对于该组织以最有效的方式为纽约市防范网络威胁至关重要。NYC Cyber Command 每天都要解析和分析数以 TB 计的数据,而随着 Cyber Command 加强对各城市机构的监测,这样的数据量很快就会达到 PB 级。为了使用熟悉的 SQL 命令分析批量数据和流式数据,该组织使用无服务器代管式数据仓库 BigQuery。
“作为网络安全组织,我们需要即时获得数据,”Noam 说道。只要发生些许延迟,就会错失关键时机。借助这些工具,我们就获得了超快的处理能力,便于我们快速深入、全面地了解安全性事件,并为正确的团队提供正确的信息。”
简化身份管理与协作
NYC Cyber Command 依赖 Cloud Identity & Access Management (Cloud IAM) 来精细控制 GCP 服务与 Google Workspace(其标准生产力和协作方案)中的访问权限。为了使工程师能够更安全地通过不受信任的网络访问 GCP 资源,而且不必使用 VPN,该组织使用了 BeyondCorp 安全模型的基础组件 Cloud Identity-Aware Proxy (IAP)。
“我们打造起了一座独特的技术要塞,确保通过高度安全、基于云的计算环境守护我们的城市机构,”Colin 说。“我们能够获得必要的资源,同时确保我们的服务和纽约市民的数据安全无虞。”
“采用云端优先的策略让 NYC Cyber Command 可以采取必要的措施,从而以尽可能快的速度更好地保护纽约市的数字化服务。我们目前所达成的速度非常出色,很有希望也会吸引其他城市采取同样方案。
—Colin Ahern,NYC Cyber Command 安全科学副首席信息安全官打造更安全的城市的蓝图
NYC Cyber Command 希望明年让所有纽约市机构都加入进来,如果没有 GCP 的帮助,这是一个根本不可能实现的里程碑。随着其基础架构和流程的发展成熟,该组织使用 Google Kubernetes Engine 为独立应用提供高可用性,并使用 Stackdriver 进行日志记录、监控和资源优化。
“采用云端优先的策略让 NYC Cyber Command 可以采取必要的措施,从而以尽可能快的速度更好地保护纽约市的数字化服务,”Colin 说道。“我们目前所达成的速度非常出色,很有希望也会吸引其他城市采取同样方案。”
您遇到了哪些挑战?请与我们分享。我们会竭诚为您提供帮助。
与我们联系
关于 NYC Cyber Command
NYC Cyber Command 是一个遵照纽约市行政命令成立的中央指挥组织,负责领导纽约市的网络防御工作,与整个城市政府机构开展协作,以防止、检测、响应网络威胁,并开展威胁发生后的恢复工作。
* Google Workspace 在 2020 年 10 月 6 日之前称为 G Suite。