雲端儲存作為雲計算與大資料的基礎支撐設施，發展空間巨大，可以幫助企業或組織降低成本與運營負擔，更好更快的擴充套件並釋放雲計算的其他優勢。同時，還必須確保滿足隱私與安全要求，以限制和保護敏感資訊。

在企業將資料轉移到雲中時，安全是被首要關注的問題，也是谷歌所有產品的重中之重。

Cloud Storage 不僅提供簡單、可靠且經濟高效的儲存以及可隨時隨地檢索大量資料的功能，而且具備內建的安全功能。例如傳輸和靜態加密，以及一系列加密金鑰管理選項，包括 Google 管理，客戶提供、客戶管理和硬體安全模組。Google擁有世界上最大的專用網路之一，可在使用者使用 Cloud Storage 時最大程度地減少資料在公共網際網路上的暴露的風險。

保護企業儲存資料需要提前進行計劃，以保護資料免受未來的威脅和新挑戰。除了基礎知識之外，Cloud Storage還提供了多種安全功能，例如統一的儲存桶級訪問、服務帳戶HMAC金鑰、IAM條件、委託令牌和V4簽名。

下面將分享一些 Cloud Storage 中保護資料安全與隱私的最佳做法

使用組織策略集中控制並定義合規性邊界

與Google Cloud一樣，Cloud Storage遵循資源層次結構。

儲存桶中包含與專案關聯的物件，然後將這些物件與組織繫結。您還可以使用資料夾來進一步分離專案資源。組織策略是可以在組織、資料夾或專案級別配置中進行設定，以強制執行特定於服務的行為。

我們建議啟用以下兩個組織策略：

受域限制的共享

此策略可防止與組織外部的人共享內容。例如，如果您嘗試將儲存桶中的內容提供給公共Internet，則該策略將阻止該操作。

統一儲存桶級訪問

此策略可簡化許可權並幫助大規模管理訪問控制。使用這個策略，所有新建立的儲存桶都具有在儲存桶級別配置的統一訪問控制，以控制對所有基礎物件的訪問。

考慮使用Cloud IAM 簡化訪問控制

Cloud Storage提供了兩個用於向儲存桶和物件授予許可權的系統：Cloud IAM 和訪問控制列表（ACL）。對於要訪問資源的使用者，這些系統中只有一個需要授予許可權。

ACL是物件級別的，並授予對單個物件的訪問許可權，隨著儲存桶中物件的數量增加，管理單個ACL所需的開銷也隨之增加。評估所有物件在單個儲存桶中的安全性變得很困難。想象一下，必須遍歷數百萬個物件才能檢視單個使用者是否具有正確的訪問許可權。

建議使用Cloud IAM 來控制對資源的訪問，Cloud IAM 支援 Google Cloud 範圍、以平臺為中心的、統一的機制來管理對 Cloud Storage 資料的訪問控制。啟用統一儲存桶級訪問控制時，將禁止物件ACL，並且使用儲存桶級的Cloud IAM策略來管理訪問。

因此，在儲存桶級授予的許可權會自動應用於儲存桶中的所有物件。

如果您不能使用 IAM 策略，可以考慮使用其他替代ACL的方法

我們發現有時我們的客戶出於各種原因而繼續使用ACL，例如多雲架構或與單個使用者共享物件。但是，我們不建議將終端使用者置於物件ACL上。

請考慮以下替代方案：

簽名URL

簽名URL允許使用者設定對 Cloud Storage 資源的限時訪問。生成簽名的URL時，其查詢字串包含與具有訪問許可權的帳戶（例如，服務帳戶）繫結的身份驗證資訊。例如，您可以向某人傳送一個URL，允許他們訪問文件，閱讀文件，並在一週後撤消訪問許可權。

獨立的儲存桶

稽核您的儲存桶並查詢訪問模式。如果您注意到一組物件都共享相同的物件ACL集，請考慮將它們移到單獨的儲存桶中，以便可以在儲存桶級別控制訪問。

IAM條件

如果您的應用在物件命名中使用共享字首，則還可以使用 IAM 條件基於這些字首設定分片訪問

委託令牌

您可以使用STS令牌授予對 Cloud Storage 儲存桶和共享字首的限時訪問。

STS令牌：https://cloud.google.com/iam/docs/reference/sts/rest

將 HMAC 金鑰用於服務帳戶，而不是使用者帳戶

基於雜湊的訊息身份驗證金鑰（HMAC金鑰）是一種憑證，用於建立對Cloud Storage的請求中包括的簽名。通常，我們建議為服務帳戶而不是使用者帳戶使用HMAC金鑰。這有助於消除依賴於單個使用者所擁有帳戶的安全性和隱私隱患。它還可以降低服務訪問中斷的風險，因為當用戶離開專案或公司時可以禁用使用者帳戶。

為了進一步提高安全性，我們還建議：

作為金鑰輪換策略的一部分，定期更改金鑰。授予服務帳戶完成任務的最小訪問許可權（即最小特權原則）。如果您仍在使用V2簽名（或遷移到V4簽名，這將自動實施最長一週的時間限制），請設定合理的到期時間。

要了解有關Cloud Storage的更多資訊以及保持資料安全和合規性的更多方法，請檢視我們的訪問控制文件，並可以觀看Cloud Next '20：OnAir的分組討論。

訪問控制文件：https://cloud.google.com/storage/docs/access-control

Cloud Next'20：OnAir：https://www.youtube.com/watch?reload=9&v=g2vKpnvZb2U&feature=youtu.be

編譯自：https://cloud.google.com/blog/products/storage-data-transfer/google-cloud-storage-best-practices-to-help-ensure-data-privacy-and-security