安全連線:Google Meet 如何維持您視訊會議的資訊安全

在世界各地,企業、學校和用戶都使用 G Suite 來聯繫和完成工作。Google 在產品的設計、建構和運行都建構在資訊安全的基礎上,並以之阻擋外來攻擊、提供適當的資安保護。G Suite 和 Google Meet 亦是如此。

Google Meet 的安全設定為自動開啟,所以組織和用戶在大部分的情況下不用多做設定,就能得到資訊上的保護。接下來,本文會總結 Google Meet 中重要的安全保護功能。

主動保護來避免濫用和封鎖來路不明的綁架

Google Meet 採用了一系列的反濫用措施來保護會議的安全,其中包含了預防網路會議電話撥入和反綁架功能。

Google Meet 使用長度為 10 個字元作為密碼(每個字元有 25 種可能),使人們很難以程式暴力的方法破解會議 ID 密碼(這是指惡意人士嘗試破解 ID 密碼,並未經授權加入會議)。系統會限制提前 15 分鐘以上加入會議的外部參與人士,進而減少暴力攻擊的可能性。外部參與者不能加入會議,除非他們在日曆邀請中,或已被網域內參與者邀請,否則他們必須提出請求,得到內部成員接受,才能夠加入會議。

視訊會議新功能!幫助遠端教學更順暢

此外,Google 同時也推出許多功能,來幫助學校師生的會議安全和改善遠端教學的體驗,其中包括:

  • 只有會議創建者和日曆擁有者可以將其他成員設為靜音,以確保老師不會被學生刪除或靜音。
  • 只有會議創建者和日曆擁有者可以批准「由外部人員」所提出的參與會議請求,意味著學生無法允許外部參與者透過視訊加入會議,而且外部參與者也無法在老師加入之前進入會議。
  • 最後一位參與者離開後,參與的人無法再重新加入匿名會議。也就是說,如果講師離開會議之後,在沒有講師的情況下,學生就不能再加入會議中。

    Google Meet security.jpg
    要求並核准用戶加入 Google Meet 視訊會議。(圖片來源: Google)

管理員和終端用戶的安全部署和權限控制

Google Meet 會在瀏覽器中幫您運行安全性機制,以限制攻擊並減少頻繁更新安全軟體的次數。如果您使用 Chrome、Firefox、Safari 或 Microsoft Edge,您無須安裝其他外掛或軟體,在移動設備上,則建議您安裝 Google Meet 應用程式。

為了確保只有授權用戶才能管理和使用 Google Meet 服務,Google 支援多種兩階段驗證功能以確保用戶的安全和便利性,包含硬體電話的安全金鑰和 Google 提示。此外,Google Meet用戶可以註冊帳戶到 Google 的 Advanced Protection Program (APP) 多一層保護。此計畫專門為高風險用戶所設計,針對釣魚網站和帳號綁架提供了強大的防護

Google 提供「資料存取透明化控管機制」(Access Transparency) 的功能給 G Suite  企業版和教育版的客戶,這個功能可以紀錄帳號存取放在 Google Drive 裡面的 Google Meet 會議記錄(例如曾要求支援團隊提供協助)。客戶還可以使用「資料地區」功能 (data regions) 功能,透過選定/覆蓋資料將 Google Meet 錄影記錄儲存/覆蓋在特定區域(如:美國或歐洲)。

安全、合規且可靠的會議基礎設施

在 Google Meet 中,無論是在網頁瀏覽器、Android app、iOS app 或使用 Google 會議室中的硬體設備進行遠端會議,所有資料在客戶端和 Google 之間的傳輸過程預設都會加密。Google Meet 遵循 IETF 中 Datagram Transport Layer Security (DTLS) 和 Secure Real-time Transport Protocol (SRTP) 的安全標準規範。每次會議針對每個人都會生成唯一的一組加密金鑰,該金鑰只會生成在會議期間,不會儲存在硬碟中,並且會在會議進行中以加密且安全的RPC (remote procedure call) 進行傳輸。

資訊安全是所有 Google 維運團隊不可或缺的部份,Google 專職的安全和隱私專業團隊成員一直不遺餘力的在軟體工程和維運上提供協助,以確保能建立並執行服務的資訊安全。所有 Google Cloud 和 G Suite 的客戶都將從這些功能當中獲益。這些功能包括:

  • 安全的基礎設施:Google Meet 使用 Google Cloud 中的深度安全防禦功能,此功能利用 Google 內建的安全機制和 global-private 網路來確保您的資訊和隱私。
  • 法規遵循認證:Google Cloud 產品(包括Google Meet)會定期做安全性、隱私性和相容性控制做獨立驗證,包括 SOCISO/IEC 27001/17/18HITRUSTFedRAMP 等標準。同時,Google 也支援 GDPRHIPAA 合規要求,並符合 COPPAFERPA 等教育規範。
  • 事故管理回應程序:Google 有一套嚴謹的流程來管理資料和安全事件,這套流程中規範了所有潛在影響客戶數據的行為、提高等級、緩解問題、解決和通知等事件。
  • 高可靠性:Google 的網路是為了因應高峰期的需求和未來數據的成長而設計的。Google 網路的高彈性,將來能夠在 Google Meet 上增加更多活動。
  • 透明度:Google Cloud 很清楚對於客戶資料的承諾:根據客戶的需求處理數據,絕不會將客戶資料用於商業廣告目的。同時,Google 也公佈了 Google 數據中心的位置,這些位置具高可用性、有彈性且安全。

透過這些原則,Google Meet 在 COVID-19 期間與未來,都會持續以創新、安全且實用的功能協助使用者並保護他們的資料。

(原文翻譯改編自 Google Cloud。)

相關文章

4 項 Google Meet 超實用新功能,讓你遠端辦公一樣維持高效率!

疫情下的他們:全球企業的遠端辦公防疫故事

Google 資訊安全白皮書:Google Infrastructure Security (一)


連絡「GCP 專門家」