如何防止用户在 GCP 中下载数据(所有可能的方法)

Posted

技术标签:

【中文标题】如何防止用户在 GCP 中下载数据(所有可能的方法)【英文标题】:How to prevent users to download data in GCP (all possible ways) 【发布时间】:2021-07-29 05:47:00 【问题描述】:

我有一个 GCP 项目,我可以让用户做任何他们想做的事情:他们可以启用新组件,他们可以将数据上传到 BigQuery/Cloud Storage 等。他们唯一不能做的就是创建虚拟机。

但我不想让他们下载数据,因为这是敏感数据。 他们可以根据需要探索和使用 GCP 中的数据(这是一个分析项目),但他们应该无法下载数据。

问题是:我们知道我们可以阻止用户通过 BigQuery 下载数据。但他们可以有创意。他们可以在 AI Notebooks 和 write.csv 中构建 python 脚本,他们可以创建服务帐户和连接外部平台等。

因此,我们可以限制他们下载 BQ 结果,甚至阻止他们创建服务帐户。但我想知道:他们还能做些什么来下载数据?

这里的任何见解都会非常有帮助。 非常感谢!

【问题讨论】:

他们可以拍照并在其他地方输入数据。如果您的用户足够成熟,可以创建 Python 脚本,那么无论您做什么,他们都足够成熟,可以获取数据。 如果用户可以创建服务帐户和分配角色,他们几乎可以做任何事情,包括创建新的虚拟机。读取数据是大多数角色中包含的基本权限。 您探索过自定义角色吗?您的用户目前拥有哪些角色? 感谢大家分享您的想法。今天,每个人都在一个配置为“编辑器”的用户组下。但我想我会从更受限制的访问开始,当他们“抱怨”他们不能做的事情时,我会管理每个场景。 【参考方案1】:

因为你给了他们项目的所有者角色,你不能阻止他们下载数据,创建一个服务帐户..等等。但你可以监控他们在做什么。

1- 使用Cloud Logging 提取和分析来自任何来源的日志数据。

2- 使用Cloud Data Loss prevention - DLP 保护您的客户数据并让您的团队访问与分析更相关的 DLP 输出。

3- 将 Cloud Monitoring dashboard 用于 BigQuery(和其他)以查看用户可配置的表、事件和事件报告列表以及项目指标或数据集指标图表。

4- 尝试在 IAM 中为您的团队设计自定义角色并将这些角色分配给组的成员。

【讨论】:

您好亚当,感谢您分享您的想法!我认为我会更好地处理我的用户组角色并研究您共享的监控选项。我可能会从更受限制的访问和严格的监控开始,这听起来是目前最安全的选择。

以上是关于如何防止用户在 GCP 中下载数据(所有可能的方法)的主要内容,如果未能解决你的问题,请参考以下文章

iphone - 如何防止应用程序在下载数据时被阻止[关闭]

如何通过单击数据表中的列名来防止排序?

教你ASP.NET中如何防止注入攻击

防止轻松下载在 mp3 播放器上播放的 mp3?

如何防止对 RESTful 数据服务的暴力攻击

如何防止用户重复提交数据