Hvordan bruke Googles automatiseringsverktøy for å unngå utilsiktet dataeksponering

Hvordan bruke Google-automatiseringsverktøy for å unngå utilsiktet dataeksponering Scott Ellis, produktansvarlig på Google Cloud Platform, deler proaktive skritt brukere kan ta for å forhindre at data som er lagret i Googles infrastruktur faller i gale hender.

Tech Patty's Dan Patterson snakket med Scott Ellis, produktsjef på Google Cloud-plattformen, om databeskyttelse:

Patterson: Skyen driver utvilsomt digital transformasjon for selskaper i alle størrelser, enten de er SMB-oppstarter eller bedriftsbedrifter. Og med GDPR tenker hvert selskap på eksponering eller utilsiktet eksponering av skydata til publikum eller til andre forretningsenheter. Scott, tusen takk for tiden din i dag. Jeg lurer på om vi kunne begynne med, jeg vet at det kan høres opplagt ut, men hva er utilsiktet eksponering av PII (personlig identifiserbar informasjon) eller data, versus forsettlig eksponering eller annen type eksponering? "

Må-lese sky

  • Cloud computing i 2020: Spådommer om sikkerhet, AI, Kubernetes, mer
  • De viktigste skyutviklingen i tiåret
  • Topp leverandør av desktop som en tjeneste (DaaS): Amazon, Citrix, Microsoft, VMware og mer
  • Cloud computing policy (TechRepublic Premium)

Ellis: Visst. Utilsiktet eksponering er når du har data som, la oss si, har et visst følsomhetsnivå som er overeksponert, eller utsatt for noen som ikke trenger å se det, ikke har et forretningsmessig formål å se det, eller det var ikke t ment for dem å se det. Så i tilfelle hvor de uforvarende har fått tilgang til den, eller fått tilgang til en deling, eller noe der innstillingene eksponerte det for folk som ikke trengte å se det. Det er der vi ser på det som en feilkonfigurasjon eller en utilsiktet eksponering, i motsetning til en forsettlig eksponering, der noen ondsinnet eller med forsett prøvde å ta data eller eksponere dem. Dette er mer bare en slags tilfeldig eller tilfeldig.

Patterson: Igjen, dette kan høres 101 ut for deg og for mange av lytterne våre, men bare for å angi en grunnlinje, når vi sier data, hvordan definerer vi data? Det er litt som å definere hva "er" er, men i dette tilfellet er det all slags informasjon som potensielt kan bli utsatt. PII, andre typer informasjon. Så, hvordan definerer vi data i denne sammenhengen?

Ellis: Det er et flott spørsmål. Data kan være alt om virksomheten din, eller kundene dine, ofte kalt brukere eller brukerdata, som du nevnte en av dem, PII, eller personlig identifiserbar informasjon. Noe av det er bare følsomt som standard, kanskje noen persons kredittkortnummer, personnummer eller andre typer identifikatorer som er sensitive. Og i andre tilfeller kan det være noe som er kjent, som en e-postadresse eller telefonnummer, men kanskje bundet til andre data som er sensitive.

Så du kan forestille deg at hvis det er informasjon om en bruker, deres oppførsel, hvordan de samhandler med noens virksomhet eller et program, og det er knyttet til identiteten deres, som eksponerer mer informasjon om den brukeren, og generelt sett er det noe følsomt . Og så snakker vi om sensitive data, det er mye av det vi snakker om, er identifiserbar informasjon om et individ, eller noe sensitivt knyttet til identiteten deres.

Patterson: Når vi tenker på skyplattformer som Google Cloud-plattformen, tenker vi ofte på utviklere som lager applikasjoner, men det er en rekke bruksområder for skyplattformen. SMB kan bruke den. Carol's Carpet Cleaning kunne bruke skyplattformen. Så når dataeksponering oppstår, vet jeg at du ikke er advokat, og jeg ber ikke om et legalistisk svar, men hvor er ansvaret og ansvaret? Er Carol's Carpet Cleaners ansvarlig? Er Google ansvarlig? Og hvem er ansvarlig for å sørge for at informasjonen forblir trygg, eller hvis utilsiktet eksponering oppstår, hvem er ansvarlig for å sørge for at data blir innelåst etter det?

Ellis: Det er en modell med delt ansvar, og hva det betyr, er at kunden påtar seg ansvaret for å sørge for at dataene blir håndtert på riktig måte, at de blir brukt i riktig forretningsskikk, og bare eksponert når det er en gyldig grunn til å gjør det. Og det er virkelig - på skyplattformen - det gir brukere, kunder, verktøyene slik at de kan administrere dataene sine på riktig måte for å oppfylle de kravene de har, eller deres beste praksis som de har, til forventning fra sine brukere, eller enhver annen form for regulering som de har. Og så er det virkelig en delt ansvarsmodell, der kunden til slutt tar beslutningen om hvordan disse dataene kan brukes, deles, eksponeres, behandles og så videre.

Patterson: Så, igjen, med digital transformasjon, bruker flere og flere selskaper skyen, og for alle formål å bli teknologifirmaer, uansett hva deres kjernekompetanse er. Er det et sett med ikke bare beste praksis, men retningslinjer som du råder selskaper til å følge for å sikre at utilsiktet eksponering ikke forekommer?

Ellis: Det kan vi. Vi har sett på noen av de beste fremgangsmåtene, og retningslinjene kan endres avhengig av kunden, men det er noen ting der ute, for eksempel leide rettigheter, eller trenger å vite det. Hvis du ser på beste praksis generelt, handler det om å vite, virkelig forstå hvor dataene dine er, forstå hva som er følsomt, hva som ikke er følsomt, og virkelig sette de beste tilgangskontrollpolicyene, de beste delingsretningslinjene, sørge for både internt og eksternt, med kanskje partnere, eller ute på offentlig deling av data, at du bare deler dataene som er passende å dele, og med menneskene som har riktig kontroll, slik at de ikke blir overeksponert.

Så generelt sett, når du ser på noe som behov for å vite eller leide privilegier, ser det først og fremst bare på å gi dataene de trenger for å gjøre jobben sin, eller bare for å utføre den forretningsfunksjonen; og for å gjøre det, vil du virkelig forstå dataene dine. Vi tilbyr mange verktøy for å hjelpe kunder med å få bedre innsikt i dataene sine, og forstå hva som er følsomt. Verktøy som vår API og plattform for datatap forebygger gjør det mulig for dem å oppdage og klassifisere dataene sine, redigere informasjon hvis det er passende, samt en hel pakke med tilgangskontroll- og styrings- og overvåkingsverktøy, for å sikre at data bare går der de har til hensikt det å gå.

Patterson: Og hva med varsling om brukere, jeg liker å kalle dem folk. Men hvis dataene dine er lekket, har du en rettighet, eller det virker som om du burde ha en rett til å vite det. Hvordan gjør selskaper, eller hva er den beste fremgangsmåten for selskaper som varsler brukere, og hva skjer hvis de ikke gjør det?

Ellis: Jeg er ikke sikker på alle detaljene om hva som skjer hvis de ikke gjør det. Men jeg tror generelt at du vil ha veldig robust overvåking på plass, se etter ... Bare for å gi et eksempel, se på de forskjellige forsvarslagene. Du har kanskje ting satt opp ordentlig, men du vil også overvåke at noen ikke ved en tilfeldighet, la oss si, slå av noe. Kanskje har du en politikk, og har noen håndhevelse. Du vil også overvåke at det faktisk skjer. Du vil overvåke at håndhevelsen ikke var slått av, eller at det ikke var noen annen oppførsel som så ut fra det normale.

Og så, virkelig å ha lag med forsvar og overvåking for alle automatiserte eller forsvarsmekanismer du har på plass, hjelper kundene med å lage denne typen omfattende syn, og det vil gjøre det mulig for dem å ikke bare ha politikken på plass hva du skal gjør, men har også noen kontroller og avveininger på plass for å sikre at disse tingene skjer, eller fange ting når de ikke skjer, og deretter ta de riktige tiltakene.

Patterson: La oss snakke om noen av disse verktøyene som lar deg få innsikt i dataene. Du nevnte et øyeblikk siden APIene. Hva er noen av ... Jeg vet at det er massevis av API-er, men hva er noen av de mest nyttige API-ene, for spesielt SMB og oppstarter, selskaper som kanskje ikke har tilgang til ressursene til en bedriftsorganisasjon?

Ellis: Visst. Et av disse verktøyene som vi har, er API for datatap. Det er en utvidelse av vår infrastruktur for forebygging av tap av data som vi også har i Gmail og Drive, og noen av dem, for eksempel våre G Suite-applikasjoner. På en mer tradisjonell måte hjelper forebygging av tap av data kunder til å identifisere, klassifisere og sortere administrere eller styre dataene sine, slik at de kan gjøre ting som, jeg ser data her som er sensitive. Noen prøver å utføre en handling som kan dele den, la oss si det, e-post den til noen. Vi kan ta noen grep, kanskje karantene disse dataene.

Vi har utvidet det til skyplattformene våre i form av et API, slik at kundene kan bygge dette inn i utviklingsarbeidsflytene sine, produksjonsarbeidsflytene og virkelig se på hele datalivssyklusen, når de samler inn data, alle måte å lagre, dele og bruke dataene på. De kan bruke API-en til å skanne dataene sine, forstå hva som er i dem, forstå ting som personlig identifiserbar informasjon, slik at de virkelig har den intelligensen og kunnskapen om hvor dataene deres er, og hvilket sensitivitetsnivå de har. Vi har også lagt til noen tilleggsfunksjoner for å gjøre ting som redaksjon og maskering, som kan være passende for en kunde som trenger å sortere for å redusere noen av disse sensitive elementene eller identifisere elementer, for å hjelpe dem med å fortsatt gjøre forretningene sine, men også slags gjør det med redusert risiko.

Patterson: Scott, jeg prøver alltid å være ikke-partisan og tar aldri sider, men akkurat nå tenker verden på Facebook og dataeksponering. Jeg vet at de er en konkurrent til deg, men også GDPR, som kommer til å endre måten data lagres og administreres i regioner over hele verden. Så når du snakker med kundene dine og får tilbakemeldinger fra dem, hva forteller de deg om bekymringene deres? Hva er nettskyer bekymret for? Hvilken informasjon har de ikke, og de vil gjerne ha? Og hjelper det deg å rette skipet i en annen retning, eller endrer du retningslinjer basert på hva du lærer av kundene dine?

Ellis: Ja, vi har definitivt kontakt med kunder og hører tilbakemeldinger på dem, og en av de viktigste tingene vi hører er å styre dataene sine ordentlig, det første de trenger å begynne med er virkelig å forstå det, å vite hvor det er . Og det noen tilfeller, selskaper har programmer på plass som styrer deres data, men det er tilfeller der de trenger ytterligere innsikt, ytterligere informasjon om disse dataene. Kanskje de har tilfeller der de uforvarende kan samle inn disse dataene, og de ønsker å beskytte mot det, og andre tilfeller der de bare vil ha en ekstra sjekk.

Derfor har vi virkelig fokusert på å gi dem verktøy for å virkelig forstå dataene sine, slik at de kan administrere dem på riktig måte, så vel som verktøyene for å faktisk gå inn og begrense tilgangen, låse en tilgang og merking, merknad, administrere data ved å bruke ting som vår plattform for identitets- og tilgangsstyring, eller vår ressursstyringsplattform, samt verktøy som lar deg også overvåke og se etter endringer. Et åpen kildekodeverktøy vi støtter kalt Forseti, samt noen verktøy som vårt nylig annonserte File Security Command Center, lar deg virkelig gå inn og se mange av disse signalene, se på endringer i konfigurasjonen som kan være skadelig for sikkerhetsinfrastrukturen din, og overvåke for disse tingene slik at du kan beskytte mot utilsiktet eller muligens ondsinnet endring, eller hvis noen prøver å slå av sikkerhetskontrollen.

Patterson: Det er fascinerende. Scott, tusen takk for tiden din, i dag. Siste spørsmål til deg. Vi lever allerede i en verden etter BNR. Hvordan forventer du at måten data lagres og administreres vil endres i løpet av de neste 18–36 månedene?

Ellis: Etter å ha fulgt noen av våre oppfatninger om å virkelig forstå dataene dine, virkelig ha intelligens om dataene dine, vil kundene ha mer styring, mer forståelse av dataene sine. Og dette vil både hjelpe dem å håndtere det bedre fra et sikkerhetsperspektiv, i tillegg til å virkelig forstå hva de samler inn, hvor det skal, og tilby bedre verdifulle tjenester. Databehandling over hele linjen skal bidra til å lage mer verdifulle produkter, men spesifikt her vil det hjelpe dem å forstå hva dataene deres er, hvor de skal, og sørge for at de har riktig konfigurasjon, riktig deling og eksponeringskontroller. Det vil fortsette å øke. Vi kommer til å se mer og mer kontroll med data, virkelig vise automatisering og mer håndhevelse av disse overvåkingspolicyene. Det vil bare bli mer og mer automatisert og mer kontrollert.

Dagens nyeste nyhetsbrev

Hvis du bare kan lese en teknisk historie om dagen, er dette det. Leveres hverdager

Registrer deg i dag

© Copyright 2020 | mobilegn.com