每个云平台为客户提供不同的安全工具和安全功能,以保护其云资产。
公共云安全是基于共享责任的概念:大型云服务提供商交付安全的超大规模环境,但保护云是客户自身的责任。对于企业来说,这种安全责任分离在使用单一的云供应商时已经足够麻烦了,但如果甚至会更加复杂和困难。
CISO面临的问题是确定云服务提供商三巨头——亚马逊AWS、Microsoft Azure和Google Cloud,提供安全灵活的云平台有什么区别。哪家提供商可以提供最好的原始工具来保护云资产?你如何说服专家同意所有大型服务提供商都能很好地保护他们的云平台?毕竟,安全的交付环境是他们业务模式的首要任务。与预算有限的企业不同,云服务提供商似乎拥有无限的资源。云服务提供商具有技术专业知识,就像企业战略集团一样(ESG)高级分析师Doug Cahill所言,“考虑到他们的全球运营,他们有无数的可用区域、存在点和触角,他们每天都能看到无数的恶意活动,并在这种可见性水平上建立自己强大的防御。”
Securosis分析师兼首席执行官Richard Mogull据说,尽管三巨头倾向于保密内部过程和程序,但三巨头在确保数据中心的物理安全、抵御内部攻击、保护支持应用和开发平台运行的虚拟层安全方面表现出色。
三家都通过了API它暴露了更多的服务,并试图减少与共担责任模型相关的混乱或摩擦。Mogull称:“每个平台都提供了一个调用接口。企业的问题是找出具体的代码行在哪里,并在多个云平台上广泛部署安全性。”
然而,与其相对市场份额有关,三巨头之间仍存在一些差异。AWS市场份额最大,31%。Azure试图赶上,目前市场份额排名第二,占20%。根据分析公司Canalys2020年20年云服务收入分析报告,新参与者谷歌的市场份额为7%,差距较大。
Amazon Web Services(AWS)
AWS云服务提供商是资质最长、最成熟的提供商。Mogull称:“作为占据主导地位的提供商,AWS最大的优势是掌握大量的知识和工具,相对容易得到答案,找到帮助和支持工具。这些都是基于平台的整体成熟度和规模。”
亚马逊共担责任的安全模型声明该公司负责底层云基础设施的安全,而订阅用户负责保护云上部署的工作负载。具体讲,客户负责:
- 保护客户数据
- 保护平台、应用和操作系统
- 实现身份和访问管理(IAM)
- 配置防火墙
- 加密客户数据、服务器文件系统和网络流量
AWS为客户提供了大量可用服务:
- API活动监测· 基本威胁情报
- Web应用防火墙(WAF)
- 数据防泄漏
- 漏洞评估
- 自动安全事件触发器
AWS默认安全配置也做得很好。
Mogull补充道,“AWS最好的两个安全功能是它们特别优秀的安全组(防火墙)实现和细粒度IAM。”不过,AWS安全是基于隔离服务的,除非明确授权,否则服务不能相互访问。从安全的角度来看,这种方法运行良好,但成本使企业管理更加困难,更难大规模管理IAM。“尽管有这些限制,AWS通常是云平台的最佳选择AWS大多数安全问题都可以避免。”
Microsoft Azure
Microsoft Azure也采用类似的共担责任模型,如基础设施服务(IaaS)在现场,客户负责数据分类与审计、客户端与端点保护、身份与访问管理、应用级和网络级控制。Mogull称,相对于AWS,Azure只是成熟度略有欠缺,尤其是一致性和文档,很多服务的默认配置确实不安全。
但是,Azure也有一些优点。Azure Active Directory可连接企业Active Directory,从而为授权和权限管理提供真实单一来源,也就是说,所有事务都可以通过单一目录加以管理。其间权衡在于,管理更加方便、更具一致性,但环境之间的隔离和相互保护程度比使用AWS更低。另一个权衡折衷是:Azure身份和访问管理从一开始就是分层的,比较AWS但是AWS粒度较细。
对企业用户而言,Azure还有另外两个重要功能:默认情况下,活动日志涵盖整个企业各区域的控制台和控制台API活动。Azure Security Center管理控制台覆盖整个企业,可配置,使当地团队能够管理自己的报警。
Google Cloud
Googl Cloud基于谷歌令人印象深刻的长期项目和全球运营。谷歌提供的坚实的内置安全工具包括:
- 防止云数据泄漏
- 密钥管理
- 资产清单
- 加密
- 防火墙
- Shielded VMs
Google Security Command Center提供集中的可见性和控制,使客户能够发现错误的配置和漏洞,监控合规性和检测威胁。Stackdriver(现已经历了扩展,更名为Google Cloud Operations),谷歌推出了一流的监控和日志分析产品。谷歌也通过它BeyondCorp Enterprise零信任平台提供身份和访问控制措施。
然而,谷歌7%的市场份额是一个问题,因为它有深度Google Cloud经验丰富的安全专家很少,社区也不那么强大,可用工具也很少。Google Cloud提供强大的集中管理和默认安全配置是一个重要的考虑因素。总的来说,Google Cloud不像AWS那么成熟,没有相同的安全功能广度。
内部培训和技能是关键
超大型服务提供商为企业提供最佳实践、指南、原生控制、工具、流量日志可见性,甚至警告企业配置错误,但“如果订阅用户想要保护云中的所有资产,他们必须承担遵循最佳实践、响应报警和采取适当控制措施的责任。”
这意味着企业应承担持续的责任,包括仔细管理访问控制、监测云环境安全威胁、定期进行渗透测试、深入培训员工,掌握云安全的最佳实践。
在每个公共云上建立内部专业知识是非常重要的。企业在实现云安全时会犯的三个重大错误是:
(1) 认为云安全与目前在自己的数据中心或私有云上的安全实践几乎相同。但事实上,每个平台都有本质的区别。表面上看,事情似乎很熟悉,但深入并不一定。企业必须对所使用的技术平台建立深刻的理解,以便在云中继续成功。没有相应的技术和认知,就没有成功的机会。
(2) 在准备好之前迁移到多云环境。如果公司想迁移到三个云,它必须首先为所有三个云环境开发相应的内部专业知识。最好不要太快地迁移到云中。在跳到下一个云之前,你应该在一个云中积累足够的专业知识。
(3) 不注意治理。与云环境相关的数据泄露大多涉及凭证丢失或被盗,最终可归结为治理失败。
Cahill agrees. 在一定程度上将数据中心外包给第三方是抽象的。你实际上是通过API互动获取服务。企业犯的几个主要错误是云服务配置错误,对象存储错误(打开)S3存储桶)和在公共存储库中留下凭证或API密钥。云控制台通常由弱密码而不是多因素身份验证和保护。
为保护云企业数据,请参考以下建议:
- 精通云安全共担责任模型;理解各条原则都是什么。
- 注重加强云配置。
- 实现人员和非人员云身份的最小权限访问。
- 实现自动化,跟上安全DevOps整个应用生命周期的自动化安全集成。
- 确保安全可以跨团队重复。大型企业有多个项目团队,各自实现了自己的安全控制。
- 所有项目团队之间的安全队之间的安全战略统一。