每个云平台提供给客户用以保护其云资产的安全工具和安全功能都不一样。

公有云安全建立在共担责任概念的基础之上:大型云服务提供商交付安全的超大规模环境,但保护推上云端的一切是客户自己的责任。对企业而言,这种安全责任分离在采用单一云供应商时已经够麻烦了,但若采用多云环境,甚至还会更加复杂棘手。

CISO面临的难题是确定云服务提供商三巨头——亚马逊AWS、Microsoft Azure和Google Cloud,在提供安全弹性云平台的方式上有何差异。哪家提供商可以提供最好的原生工具来保护云资产?你怎么说服专家同意所有超大规模服务提供商都能很好地保护自家云平台?毕竟,交付安全的环境可是他们业务模型的重中之重。不同于预算受限的企业,云服务提供商似乎拥有无限的资源。云服务提供商具备技术专业知识,而且,正如企业战略集团(ESG)高级分析师Doug Cahill所言,“考虑到他们全球运营,拥有无数可用区域、存在点,触角遍及全世界,他们每天都能看到无数恶意活动,可以在此可见性水平上构筑自身强大的防御。”

Securosis分析师兼首席执行官Richard Mogull称,尽管三巨头倾向于保密内部过程和程序,但在保障其数据中心物理安全、抵御内部人攻击和保护支撑应用及开发平台运行的虚拟层安全方面,三巨头的表现非常棒。

这三家都通过API暴露了更多的服务,并且试图减少共担责任模型相关的混乱或摩擦。Mogull称:“这些平台中每一个都提供了调用接口。企业的问题是弄清楚具体代码行在哪里,以及跨多个云平台广泛部署安全。”

然而,三巨头之间还是存在一些差异,这与其相对市场份额有关。AWS占有的市场份额最大,为31%。Azure正在努力赶上,目前以20%的市场份额位居第二。根据分析公司Canalys发布的2020年云服务营收分析报告,新参者谷歌的市场占有率为7%,以较大差距位居第三。

Amazon Web Services(AWS)

AWS是资历最久也最成熟的云服务提供商。Mogull称:“作为占据统治地位的提供商,AWS最大的优势是掌握着大量知识与工具,可以相对容易地获得答案,找到帮助和支持工具。这些全都建立在该平台的整体成熟度和规模基础上。”

亚马逊共担责任的安全模型声明该公司负责底层云基础设施的安全,而订阅用户负责保护云上部署的工作负载。具体讲,客户负责:

· 保护客户数据

· 保护平台、应用和操作系统

· 实现身份与访问管理(IAM)

· 配置防火墙

· 加密客户端数据、服务器端文件系统和网络流量

AWS为客户提供了大量可用服务:

· API活动监测

· 基础威胁情报

· Web应用防火墙(WAF)

· 数据防泄漏

· 漏洞评估

· 用于自动化的安全事件触发器

AWS在默认安全配置方面也做得很好。

Mogull补充道,“AWS安全功能中最好的两项是他们尤为出色的安全组(防火墙)实现和细粒度的IAM。”不过,AWS安全基于隔离服务,除非显式授权,否则服务之间无法相互访问。从安全的角度考虑,这种方式运行良好,但代价是让企业范围内的管理更难了,而且更难以大规模管理IAM。“尽管存在这些局限,AWS通常还是云平台最佳选择,选用AWS可以规避大多数安全问题。”

Microsoft Azure

Microsoft Azure也采用类似的共担责任模型例如,在基础设施即服务(IaaS)场景中,客户负责数据分类与审计、客户端与端点防护、身份与访问管理、应用级和网络级控制。Mogull称,相对于AWS,Azure只是在成熟度上稍欠缺一些,尤其是在一致性、文档方面,而且很多服务的默认配置确实不够安全。

但是,Azure也具有一些优势。Azure Active Directory可连接企业Active Directory,从而为授权和权限管理提供真实单一来源,也就是说,所有事务都可以通过单一目录加以管理。其间权衡在于,管理更加方便、更具一致性,但环境之间的隔离和相互保护程度比使用AWS更低了。另一项权衡折衷是:Azure的身份与访问管理从一开始就是层次化的,比AWS容易管理,但AWS的粒度更细。

对于企业用户而言,Azure还具有另外两项重要功能:默认情况下,活动日志涵盖整个企业各个区域的控制台和API活动。此外,Azure Security Center管理控制台覆盖整个企业,且可以配置,以便本地团队能够管理自己的警报。

Google Cloud

Googl Cloud建立在谷歌令人印象深刻的长期工程与全球运营基础之上。谷歌提供的坚实内置安全工具包括:

· 云数据防泄漏

· 密钥管理

· 资产清单

· 加密

· 防火墙

· Shielded VMs

Google Security Command Center提供集中式可见性与控制,使客户能够发现错误配置与漏洞、监测合规情况和检测威胁。通过并购Stackdriver(如今已经历拓展,并更名为Google Cloud Operations),谷歌推出了一流的监测与日志分析产品。谷歌还通过其BeyondCorp Enterprise零信任平台提供身份与访问控制措施。

然而,谷歌7%的市场份额是个问题,因为具有深厚Google Cloud经验的安全专家较少,社区也就不那么茁壮,可用工具数量也少。但是Google Cloud提供强大的集中式管理和默认安全配置,这些都是很重要的考虑因素。总体上,Google Cloud不像AWS那么成熟,也不具备同样的安全功能广度。

内部培训和技能是关键

超大规模服务提供商为企业提供最佳实践、指南、原生控制、工具、流量日志可见性,甚至能向企业警示存在错误配置的情况,但“订阅用户若想保护置于云端的所有资产,就必须担负起遵从最佳实践、响应警报和采取恰当控制措施的责任。”

这意味着企业要承担持续的责任,包括谨慎管理访问控制、监测云环境安全威胁、定期执行渗透测试,以及就深入培训企业员工,使其掌握云安全最佳实践。

在每个公有云上建立起内部专业知识非常重要。实现云安全时企业会犯的三个重大错误是:

1. 认为云安全与当前在自家数据中心或私有云上所做的安全实践相差无几。但实际上,每个平台都有本质的不同。表面上看起来事情都是做熟了的那些,但往深里看却又不尽然。企业必须建立起对所用技术平台的深刻理解,如此才能在云端延续成功。没有相应的技术和认知,就没有成功的机会。

2. 在准备好之前就迁移到多云环境。如果公司想要迁移到三个云上,那必须先针对全部三个云环境发展出相应的内部专业知识。迁移到云端的步伐最好不要太快,在跳转到下一个云前应先在一个云上积累够专业知识。

3. 不关注治理。大多数与云环境相关的数据泄露都涉及凭证遗失或被盗,最终可以归结为治理失败问题。

Cahill agrees. 将数据中心外包给第三方存在一定程度的抽象。你实际上是通过与API交互来获取服务。其中企业犯的几类主要错误就是错误配置云服务、错误配置对象存储(打开S3存储桶)和在公开存储库中留下凭证或API密钥。而云控制台往往是由弱口令而非多因素身份验证防护。

欲保护云端企业数据,不妨参考如下建议:

1. 精通云安全共担责任模型;理解各条原则都是什么。

2. 重视强化云配置。

3. 实现人员和非人员云身份最小权限访问。

4. 实现自动化,使安全跟上DevOps的速度;自动化整个应用生命周期的安全集成。

5. 确保安全实现可跨团队重复。大型企业具有多个项目团队,各自都实现了自己的安全控制。

6. 采取自上而下方法实现所有项目团队间安全策略统一。

相关阅读:从安全角度看亚马逊AWS、微软Azure与谷歌云的不同

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。