Google Drive 链接永不失效。这是个问题。
Source: Dev.to
我的一个朋友经营着一家 15 人的代理公司。去年他发现,一位 18 个月前离职的承包商仍然可以访问所有客户交付物、内部策略文档以及通过 Google Drive 链接共享的财务报告。这并不是因为有人有意让他们保持在信息流中,而是因为没有人撤销任何权限,而 Google Drive 链接永不过期。
事实是,当你使用 “任何拥有链接的人均可查看” 共享 Google Drive 链接时,该链接会永久有效。它没有内置的过期机制,没有自动清理,也没有类似 “嘿,这份文档仍然对 47 个人可访问,其中包括 12 位已不在此工作的人员” 的提醒。
说实话?大多数团队都有数百个此类链接在各处流传。
问题范围
想想过去两年里你分享的每一个 Google Drive 链接:客户提案、内部路线图、包含薪资细节的招聘计划、董事会演示文稿、财务模型、合同。
现在考虑一下这些链接中有多少仍然是活跃的。除非你手动逐一撤销访问权限,否则答案是 全部。
一项 Metomic study on Google Drive security 显示,平均每家公司通过 Google Workspace 对外共享的文件超过 10,000 个,而只有约 5 % 的公司拥有审计或撤销外部共享的流程。这意味着大量的“敞开大门”。
这并不是一篇抨击 Google Drive 的文章。Drive 在内部协作方面表现出色,但它是为协作而设计的,而不是为受控的外部共享而设计。这两种使用场景本质上不同,把它们当作同一种方式处理就会产生风险。
前员工是最大的盲点
当有人离开贵公司时,你(希望)会停用他们的邮箱并撤销他们的登录权限。但他们作为查看者被共享的每一个 Google Drive 链接怎么办?他们用个人邮箱与外部联系人共享的链接又怎么办?
大多数离职流程清单并未包含 “审计此人拥有访问权限的所有共享 Drive 链接”。手动完成这项工作可能需要数小时——甚至数天——才能处理一个在公司工作了数年的员工。
根据 Varonis Global Data Risk Report 的数据,普通员工在第一天就能访问 1700 万个文件。当他们离职时,这些访问权限大多不会被清理,因为手动操作耗时过长。
现在把这个数字乘以所有曾在贵公司工作过的员工、承包商、自由职业者和实习生。那就是你实际的风险面。
承包商和自由职业者让情况更糟
对于全职员工,至少会有一些离职流程,即使不完整。但承包商和自由职业者呢?大多数团队在项目期间把他们加入共享文件夹,然后就……忘了他们的存在。
我见过一些机构,三年前的自由设计师仍然能够访问活跃的客户文件夹。不是因为有人想让他们保留权限,而是因为没有人记得把他们移除。
自由职业者甚至可能不知道他们仍然拥有访问权限。他们并没有做任何恶意行为;链接只是停留在他们的邮件或书签里,仍然有效,仍然可以访问。
“Anyone with the Link” Is Scarier Than It Sounds
Google Drive 的共享权限包括一个设置,称为 “anyone with the link can view.”(拥有链接的任何人均可查看)。听起来相对安全——毕竟需要链接才能访问它。
但链接会被转发,粘贴到 Slack 频道,嵌入到再次转发的电子邮件线程中,保存在共享电脑上,甚至如果出现在公共网页上还会被搜索引擎索引(这比你想象的更常见)。
一次 “anyone with the link” 共享实际上是 将该文档发布给任何能够找到或收到该 URL 的人。没有身份验证,没有验证,也没有记录谁访问了它。
Google 确实提供 “restricted”(受限)共享,只有特定的电子邮件地址才能访问文件。这更安全,但也会增加摩擦,而大多数人默认使用 “anyone with the link”,因为更方便。
良好访问管理的示例
| 功能 | 描述 |
|---|---|
| 自动过期 | 每个共享链接应默认设有过期日期(例如 30 天或 90 天)。如果仍需访问,可请求延长。默认应为“访问会过期”,而非“访问永久有效”。 |
| 访问审计 | 单一仪表板应列出所有对外共享的文档、拥有访问权限的人员以及最近一次访问时间。超过 6 个月未被访问的链接应标记为待审查。 |
| 离职交接集成 | 当有人离职时,所有包含其邮箱的共享链接应自动进行审查。如果其创建的链接也被标记,则更佳。 |
| 访问日志 | 不仅要记录“此链接是否被访问”,还要记录谁访问、何时、使用何种设备以及停留时长。这对合规性和基本认知都很重要。 |
Google Drive 为 Google Workspace 企业版客户提供了部分此类功能,但在较小的套餐中没有,并且实现需要手动配置,且大多数管理员从未进行设置。
合规视角
如果贵公司处理受监管的数据(医疗、金融、法律、教育),“链接永不过期”问题不仅是安全上的烦恼——它可能构成合规违规。
- GDPR 要求您能够展示对个人数据的控制。如果客户数据仍可通过两年前共享给已不再需要访问权限的人员的链接访问,您显然未能符合合规要求。
- SOC 2 审计专门检查访问控制以及在不再需要时是否撤销访问权限。审计员可不会接受“我们通过 Google Drive 共享后忘记撤销”的答案。
即使您所在的行业并非受监管行业,您的客户可能是。如果您无法证明已清理过期链接,就有失去客户信任——甚至失去业务的风险。
您现在可以采取的措施
如果您正在阅读此文并感到不安(我第一次想到它时也很不安),可以立即执行以下步骤:
- 在 Google Workspace 管理员后台运行外部共享文件报告。 按“最近修改”排序,从最旧的文件开始。撤销所有已过期的访问权限。
- 每季度设置一次日历提醒,审计外部共享。 是的,这需要手动操作。是的,这很烦人。但在没有更好的工具之前,这是必要的。
- 不要将“拥有链接的任何人”设为默认共享方式。 使用仅限特定电子邮件地址的受限共享。虽然会增加一些摩擦,但安全性显著提升。
- 在员工离职清单中添加“撤销外部访问”步骤。 即使不能全部捕获,捕获部分也总比一无所获好。
- 对于真正敏感的文档,彻底停止使用 Google Drive 进行外部共享。 使用专为受控、限时、可追踪的外部共享设计的工具。
您去年共享的链接仍然有效。问题在于,这是否是您现在想要解决的难题,还是想以后再以更艰难的方式发现它。