本文編譯自:Google Blog

Google Cloud 的首席資訊安全官辦公室 (OCISO) 是一個由網路安全領導者組成的專家團隊，包括成熟行業 CISO，最初成立於 2019 年。他們共同擁有超過 500 年的網路安全經驗和跨行業的領導力，包括全球醫療保健、金融、電信和媒體、政府和公共部門以及零售行業。目標是與他們所在的客戶會面，並幫助客戶採取最佳的方式保護他們的企業。在本文章中，OCISO 總監 Taylor Lehmann 和 OCISO 安全顧問 David Stone 將回顧他們在 Google Cloud 和 OCISO 團隊工作的第一年。

在我們大部分的職業生涯都在協助保護世界上最關鍵的基礎設施和服務之後，我們加入了 Google Cloud，我們希望通過 Google 幫助企業做更佳的資安防禦。

在 Google Cloud，安全性是所做一切的主要因素。Google為企業提供在安全平台上部署安全工作負載的機會，該平台由數千名熱中於資訊安全的 Google 員工設計與維護，這些員工擁有數十年抵禦各種安全漏洞級別的經驗。我們的工程理念驅使我們設計安全的產品，並不斷更新以結合我們的研究中吸取的經驗教訓並擊敗安全攻擊。

現有的客戶都知道，Google 不斷改進的雲平台在他們設置雲端身份並建構第一個項目之前就已經開啟並提升安全性。雲端技術的價值不容小覷，它允許安全團隊通過消除整個威脅類別來減少攻擊面，因為安全性已從頭開始設計到硬體與軟體中。

Google幫助推廣Dogfooding，當一家軟體公司在向公眾提供之前使用自己的產品時，Google還使用 dogfooding 來推動先進安全技術的創建。因為銷售的安全技術Google本身也在使用，所以Google從不滿足現況——Google員工他們使用的技術有著非常高的期望。

在某些情況下，這些技術（例如BeyondCorp和BeyondProd，Google首創的零信任安全模型的實施）在Google之外的更廣泛需求被完全理解之前就已經可供使用。同樣，威脅分析小組(TAG) 根據我們在 2010 年吸取的經驗教訓，開始開發追蹤和阻止對 Google 系統和網路威脅的方法。這些功能（以及像Chronicle這樣的新功能）的獨特之處不僅在於它們如何結合在一起，還包含他們如何通過 Dogfooding 繼續改進。

更新客戶的想法以跟上不斷發展的網路安全形勢非常重要。責任共擔模型確定了客戶或雲端服務提供商 (CSP) 是否負責安全的各個方面，CSP 指導了安全關係和互動，在 Google Cloud，我們相信它現在無法幫助客戶實現更好的安全成果。我們相信共同命運，而不是共同承擔責任。

共同命運包括我們為客戶的工作負載建構並營運一個值得信賴的雲端平台。Google提供有關安全最佳實踐和經過驗證的基礎架構即代碼模式的指南，用戶可以使用它們來部署工作負載。我們發布的解決方案結合了 Google Cloud 服務來解決複雜的安全問題，並且提供創新的保險選項來幫助用戶衡量並減輕必須承擔的風險。共同命運涉及我們和客戶之間更密切的互動，以保護客戶在 Google Cloud 上的資源，透過共享命運，創建一個相互問責的系統，並設定 CSP 及其客戶積極參與使彼此安全和成功的期望。

軟體供應鏈需要得到更好的保護，我們相信Google的方法是最強大和最全面的。Google為許多公家單位做出貢獻，例如Linux 基金會，並使用我們的漏洞獎勵計劃來提高Google為全世界開源的軟體的安全性。Google最近發布了Assured Open Source Software，目的是為客戶維護和保護精選的開源軟體包，就像 Google 為自己保護它們一樣。Assured Open Source 是另一個 Dogfood 項目，它將我們在 Google 所做的工作外化，以造福所有人。

成為社區的活躍成員是 Google 的首要任務，並且成為保護我們所依賴的關鍵基礎設施的重要組成部分。今年 7 月，我們作為合作夥伴加入了 Health-ISAC （訊息共享和分析中心）。多年來，我們一直與金融服務 ISAC、汽車 ISAC（用於車輛軟件安全）、零售 ISAC 等保持關係。在我們的組織之間共享知識和指導只能幫助提高每個人抵禦最新網路安全威脅的能力。我們不僅僅是合作夥伴，我們還在幫助與這些企業建立密切關係，將團隊結成夥伴以保護全球社區。

我們相信未來會在像Google雲這樣的可信度高的雲端平台上更好地運行工作負載，但那裡的旅程可能充滿挑戰。在過去一年我們收到的反饋中，包括來自Google舉辦的近 100 場高管研討會和互動，客戶與我們分享了他們面臨的最大挑戰。

最常見的七個是：

1. 發展一個軟體定義的邊界，在這個邊界上，身份識別而非防火牆規則，要能夠讓讓好的東西進來，同時壞的東西也進來
2. 啟用安全性的遠程訪問功能，允許隨時隨地從任何設備訪問數據和服務
3. 確保數據保留在被核准的位置，同時使企業能夠敏捷並對其利益相關者的案例負責
4. 擴展有效的安全計劃，以匹配其業務在消費基礎設施和雲端原生服務方面的增長
5. 根據兩個事實來管理他們的攻擊面：到 2025 年，預計將有超過 420 億台設備連接到互聯網，並且組織正在尋找串聯和利用不斷增長的數據整合的方法
6. 隨著企業尋求利用這些訊息來更接近客戶需求，同時產生更多收入，安全地分析和與第三方共享數據
7. 通過聯合安全組織外部的安全責任和建立有效的護欄來安全地限制和保護雲資源的使用來轉變團隊

我們學到的重要一點是，在過去一年的客戶互動中一直強調的是，Google Cloud 並不僅僅專注於如何在我們的平台上取得成功，同時，我們還專注於建構出滿足客戶所在位置的技術，為他們的企業與客戶創造價值，並減少實現目標所需的工作量。這就是Google建構Anthos、貢獻和支援開源以及開發像 Chronicle 這樣的產品的原因，無論用戶在何處部署工作負載（本地、Google Cloud 或其他雲），這些產品都能正常工作。

網路安全社區的核心是其人員和技術。這就是我們在未來五年內投資100 億美元用於網路安全的原因，努力改進 Google 及其他部門的 DEI 計劃的原因，以及我們提供可訪問的免費安全、雲端培訓和認證計劃以使知識民主化並建立下一代雲端領導者。

在第一年結束時感謝有機會與世界各地的眾多客戶、社區、合作夥伴和政府合作。在與這些群體互動的經驗中，我們已經學習並在所做的事情上變得更好。在今年的最後幾個月和 2023 年之後，Google將繼續尋找新的方法來利用資源幫助客戶、開發產品並支持世界各地社會的安全和保障。