Google发布了一项新服务 Unattended project ReMindeR,旨在提高云利用率,并解决因被遗忘的旧云计算项目而导致的安全问题,并删除这些项目。
Unattended project ReMindeR 是 Google Cloud 的Active ASSist 的一部分,可以结合Google Cloud MoniToring等服务的机器学习技术,搜集及分析API和网络活动、计费、云计算服务使用量、及其他信号来识别、找出已废弃在某个角落的项目,并提供矫正建议,借此减少资源浪费及降低安全风险,它还能提供企业有用资源,如评估是否真的是废弃项目、删除会不会影响运营或造成资料不可逆的损失等等。
据Google Cloud称,一段时间以来,谷歌的内部安全团队一直在关注Google Cloud MoniToring,但在研发过程中遇到了检测问题,因为很难使用信号(例如 API、网络和用户活动)来区分实际Unattended project和真实的低打开率的项目之间的区别。
正确识别Unattended project和意外删除对生产工作负载至关重要的组件,导致永久性数据丢失是其中的一大风险,但好处是可以减少不必要的云费用和减少配置问题,例如开放防火墙或特权服务帐户密钥,攻击者可以利用它们来获取云资源以进行加密货币挖掘或窃取数据。
Unattended project ReMindeR 使用的关键信号包括 API 活动(例如具有身份验证活动和 API 调用的服务帐户)、网络活动、计费活动、用户活动和云服务使用情况(例如活动虚拟机、BIgQueRy 作业和存储请求)。
管理员可以为意外删除的项目提供恢复选项:恢复期为 30 天。但是,Google 指出,某些资源(例如 Cloud STorage 或 Pub/Sub 资源)会在 30 天期限结束前被删除,并且可能无法完全恢复。
法国体育用品零售巨头迪卡侬使用该功能删除了 775 个项目。迪卡侬的云安全官 Adeline Villette 说。
法国公用事业公司Veolia 和美国文件存储公司 Box 试用了该技术,以减少他们分别支持的Unattended project的数量。