保护包括 Google Cloud 在内的混合云中的工作负载

Google Cloud 中的信息技术工作负载既方便又节省成本。但是，您仍然需要遵循安全、隐私和合规性规则以及最佳实践来保护数据。此外，您需要在当前使用的所有云和未来使用的云之间实现快速的数据移动性，而云供应商特定的加密解决方案可以满足这一需求。而且，作为少数超大规模云服务提供商之一，Google Apps 使 Google 有资格成为 IaaS/PaaS 和 SaaS 提供商。保护 SaaS 的最佳方法是进行全面的身份验证。

虽然 Google Cloud 会加密所有静态客户数据，但Thales 和 Google 已建立合作关系，以帮助 Google Cloud 客户进一步保护其敏感信息。

如何保护 Google Cloud 中的数据？

为了实现云安全的共享责任模型，请选择自带密钥 ( BYOK )、持有自己的密钥 ( HYOK ) 或发现敏感数据的机制以及自带加密(BYOE)。此外，您还需要具有智能单点登录(SSO) 和多因素身份验证(MFA) 的基于策略的外部访问管理。

BYOK或HYOK – 云密钥管理

Google Cloud Platform 提供了两种机制，可让您拥有加密密钥材料

Thales同时支持客户管理加密密钥 (CMEK) 和外部密钥管理服务 (EKMS)： 

• CipherTrust Cloud Key Manager是泰雷兹推出的一款多云加密密钥生命周期管理产品，支持 EKMS 和 CMEK。

• 按需数据保护中的 CipherTrust 密钥代理服务提供基于 SaaS 的 EKM 服务

发现并保护敏感数据并控制加密密钥

选择可在 Google Cloud 及其他平台上通过加密密钥控制为您提供数据发现和保护的解决方案

使用技术，您可以查找和分类受全球数据隐私或保护要求约束的敏感数据，然后使用高级加密和基于策略的访问管理来保护和控制数据。或者，您可以将应用程序构建为云原生应用程序，并使用动态数据屏蔽的无保险库标记化来保护数据。

通过简化的工作流程查找受监管数据，帮助消除安全盲点。内置的发现和分类模板可快速启动，并具有创建新策略所需的灵活性。详细的报告可以证明遵守规则、法规和法律。了解 CipherTrust 数据发现和分类。

使用高级加密保护数据，如果您

• 100% 基于 Google Cloud，并具有严格的数据安全控制，或者

• 运行混合云，数据分布在您的本地私有云、多个云提供商和 Google Cloud 中

高级加密有哪些好处？

• 在操作系统级别或应用程序层透明地保护数据可以增强数据安全性，抵御更多威胁，从勒索软件和 APT 到内部风险，甚至可以保护数据免受 Google 的访问

• 您可以在云之间实现数据可移植性，甚至可能无需支付出口费

使用CipherTrust 透明加密实现快速投资回报。无需更改应用程序、数据库、基础架构或业务实践即可保护数据。Google 存储解决方案会加密所有静态数据，但将数据以明文形式传送到操作系统。大多数数据盗窃都是由于操作系统、应用程序受到攻击或用户分心造成的。操作系统级控制与细粒度的访问策略相结合，可为您提供敏感数据所需的保护。

云原生应用程序可能没有可运行透明加密的操作系统。使用以下方法保护云原生应用程序中的数据：

• CipherTrust Tokenization 具有动态数据屏蔽功能，可与 REST 的云原生应用集成。可以轻松添加基于策略的动态数据屏蔽功能

• CipherTrust 应用程序数据保护可保护应用程序内的数据，实现最高级别的安全

Thales Luna HSM 提供高可信度的信任根

使用高保证 FIPS 140-2 Level 3验证的硬件安全模块 (HSM) 保护您在 Google Cloud 中的数据

Luna HSM支持 Google 客户提供的加密密钥 (CSEK) 和 Google Cloud EKM 服务。为了方便访问加密密钥质量和所有权，Thales 按需数据保护 (DPoD) 通过简单的在线市场提供广泛的 Luna Cloud HSM 和 CipherTrust 密钥管理服务。Google 市场上有几种基于 DPoD 的服务： Luna Cloud HSM，一种支持 ISV 和客户编写的应用程序的通用 HSM 解决方案，以及用于 Google EKM 的 CipherTrust 密钥代理，可在 Google Cloud 环境之外安全地创建和控制加密密钥。

Google 建议针对 Google Cloud 实施基于策略的访问管理

使用外部身份提供商 (IDP) 保护您的访问安全 - 即使 Google Cloud 后端遭到入侵，也能保持控制

不要被锁定在单一云供应商上，这一点很重要。我们建议您选择支持多种云的 IDP，这样当您的业务需求发生变化时，您就不会被锁定在单一云供应商上。

SafeNet 可信访问 (STA)

STA 是一种基于云的服务，可充当 Google Cloud、其他公共云和私有云中的本地和云应用的可信身份提供者。

STA 能够在组织的整个环境、所有操作系统和云中安全地部署访问管理解决方案。

STA 通过使用身份验证和条件访问，并在用户每次登录应用程序时强制实施基于策略的访问控制，在登录点保护云资源。了解有关SafeNet Trusted Access 的更多信息。

2FA 合规性

各种合规性法规要求使用双因素身份验证 (2FA) 来管理云资源

STA 支持 2FA，并且可以配置为支持Google Cloud 中的多重身份验证 ( MFA )。

面向管理员和客户的云 SSO 和 MFA

除了支持合规性法规

STA 通过在 Google Cloud 中提供对云单点登录 (SSO)和 MFA 的支持，提高了 IT 管理员和客户的工作效率，同时又不降低安全性。

您可以直接联系我们获取更多资料，也可以与揽阁信息的安全专家一起交流和讨论您的定制化解决方案。

揽阁信息 · 值得您信赖的信息安全顾问！

相关文章：

• 从设计上就做到量子安全：为什么香港金融业必须在量子时代到来之前采取行动
• 2026 年，为何首选 Thales HSM 与揽阁信息？
• payShield HSM的安全能力在不同行业中有哪些应用案例？
• 简介 Luna HSM 的性能和能效
• Thales payShield HSM 的发展对支付安全领域产生了哪些影响？
• 保障未来：Google Workspace 中数字主权的实用方法