每个云平台提供给客户用以保护其云资产安全工具和安全功能都不一样。

公有云安全建立在共担责任概念基础之上:大型云服务提供商交付安全超大规模环境,但保护推上云端一切是客户自己责任。对企业而言,这种安全责任分离在采用单一云供应商时已经够麻烦了,但若采用多云环境,甚至还会更加复杂棘手。

CISO面临难题是确定云服务提供商三巨头——亚马逊AWS、Microsoft Azure和Google Cloud,在提供安全弹性云平台方式上有何差异。哪家提供商可以提供最好原生工具来保护云资产?你怎么说服专家同意所有超大规模服务提供商都能很好地保护自家云平台?毕竟,交付安全环境可是他们业务模型重中之重。不同于预算受限企业,云服务提供商似乎拥有无限资源。云服务提供商具备技术专业知识,而且,正如企业战略集团(ESG)高级分析师Doug Cahill所言,“考虑到他们全球运营,拥有无数可用区域、存在点,触角遍及全世界,他们每天都能看到无数恶意活动,可以在此可见性水平上构筑自身强大防御。”

Securosis分析师兼首席执行官Richard Mogull称,尽管三巨头倾向于保密内部过程和程序,但在保障其数据中心物理安全、抵御内部人攻击和保护支撑应用及开发平台运行虚拟层安全方面,三巨头表现非常棒。

这三家都通过API暴露了更多服务,并且试图减少共担责任模型相关混乱或摩擦。Mogull称:“这些平台中每一个都提供了调用接口。企业问题是弄清楚具体代码行在哪里,以及跨多个云平台广泛部署安全。”

然而,三巨头之间还是存在一些差异,这与其相对市场份额有关。AWS占有市场份额最大,为31%。Azure正在努力赶上,目前以20%市场份额位居第二。根据分析公司Canalys发布2020年云服务营收分析报告,新参者谷歌市场占有率为7%,以较大差距位居第三。

Amazon Web Services(AWS)

AWS是资历最久也最成熟云服务提供商。Mogull称:“作为占据统治地位提供商,AWS最大优势是掌握着大量知识与工具,可以相对容易地获得答案,找到帮助和支持工具。这些全都建立在该平台整体成熟度和规模基础上。”

亚马逊共担责任安全模型声明该公司负责底层云基础设施安全,而订阅用户负责保护云上部署工作负载。具体讲,客户负责:

· 保护客户数据

· 保护平台、应用和操作系统

· 实现身份与访问管理(IAM)

· 配置防火墙

· 加密客户端数据、服务器端文件系统和网络流量

AWS为客户提供了大量可用服务:

· API活动监测· 基础威胁情报· Web应用防火墙(WAF)· 数据防泄漏· 漏洞评估· 用于自动化安全事件触发器

AWS在默认安全配置方面也做得很好。

Mogull补充道,“AWS安全功能中最好两项是他们尤为出色安全组(防火墙)实现和细粒度IAM。”不过,AWS安全基于隔离服务,除非显式授权,否则服务之间无法相互访问。从安全角度考虑,这种方式运行良好,但代价是让企业范围内管理更难了,而且更难以大规模管理IAM。“尽管存在这些局限,AWS通常还是云平台最佳选择,选用AWS可以规避大多数安全问题。”

Microsoft Azure

Microsoft Azure也采用类似共担责任模型例如,在基础设施即服务(IaaS)场景中,客户负责数据分类与审计、客户端与端点防护、身份与访问管理、应用级和网络级控制。Mogull称,相对于AWS,Azure只是在成熟度上稍欠缺一些,尤其是在一致性、文档方面,而且很多服务默认配置确实不够安全。

但是,Azure也具有一些优势。Azure Active Directory可连接企业Active Directory,从而为授权和权限管理提供真实单一来源,也就是说,所有事务都可以通过单一目录加以管理。其间权衡在于,管理更加方便、更具一致性,但环境之间隔离和相互保护程度比使用AWS更低了。另一项权衡折衷是:Azure身份与访问管理从一开始就是层次化,比AWS容易管理,但AWS粒度更细。

对于企业用户而言,Azure还具有另外两项重要功能:默认情况下,活动日志涵盖整个企业各个区域控制台和API活动。此外,Azure Security Center管理控制台覆盖整个企业,且可以配置,以便本地团队能够管理自己警报。

Google Cloud

Googl Cloud建立在谷歌令人印象深刻长期工程与全球运营基础之上。谷歌提供坚实内置安全工具包括:

· 云数据防泄漏· 密钥管理· 资产清单· 加密· 防火墙· Shielded VMs

Google Security Command Center提供集中式可见性与控制,使客户能够发现错误配置与漏洞、监测合规情况和检测威胁。通过并购Stackdriver(如今已经历拓展,并更名为Google Cloud Operations),谷歌推出了一流监测与日志分析产品。谷歌还通过其BeyondCorp Enterprise零信任平台提供身份与访问控制措施。

然而,谷歌7%市场份额是个问题,因为具有深厚Google Cloud经验安全专家较少,社区也就不那么茁壮,可用工具数量也少。但是Google Cloud提供强大集中式管理和默认安全配置,这些都是很重要考虑因素。总体上,Google Cloud不像AWS那么成熟,也不具备同样安全功能广度。

内部培训和技能是关键

超大规模服务提供商为企业提供最佳实践、指南、原生控制、工具、流量日志可见性,甚至能向企业警示存在错误配置情况,但“订阅用户若想保护置于云端所有资产,就必须担负起遵从最佳实践、响应警报和采取恰当控制措施责任。”

这意味着企业要承担持续责任,包括谨慎管理访问控制、监测云环境安全威胁、定期执行渗透测试,以及就深入培训企业员工,使其掌握云安全最佳实践。

在每个公有云上建立起内部专业知识非常重要。实现云安全时企业会犯三个重大错误是:

1. 认为云安全与当前在自家数据中心或私有云上所做安全实践相差无几。但实际上,每个平台都有本质不同。表面上看起来事情都是做熟了那些,但往深里看却又不尽然。企业必须建立起对所用技术平台深刻理解,如此才能在云端延续成功。没有相应技术和认知,就没有成功机会。2. 在准备好之前就迁移到多云环境。如果公司想要迁移到三个云上,那必须先针对全部三个云环境发展出相应内部专业知识。迁移到云端步伐最好不要太快,在跳转到下一个云前应先在一个云上积累够专业知识。3. 不关注治理。大多数与云环境相关数据泄露都涉及凭证遗失或被盗,最终可以归结为治理失败问题。

Cahill agrees. 将数据中心外包给第三方存在一定程度抽象。你实际上是通过与API交互来获取服务。其中企业犯几类主要错误就是错误配置云服务、错误配置对象存储(打开S3存储桶)和在公开存储库中留下凭证或API密钥。而云控制台往往是由弱口令而非多因素身份验证防护。

欲保护云端企业数据,不妨参考如下建议:

1. 精通云安全共担责任模型;理解各条原则都是什么。2. 重视强化云配置。3. 实现人员和非人员云身份最小权限访问。4. 实现自动化,使安全跟上DevOps速度;自动化整个应用生命周期安全集成。5. 确保安全实现可跨团队重复。大型企业具有多个项目团队,各自都实现了自己安全控制。6. 采取自上而下方法实现所有项目团队间安全策略统一。

AWS、谷歌云、Azure:云计算安全功能比较的更多相关文章

  1. 物联网(IoT)的11大云平台:AWS、Azure、谷歌云、Oracle、

    物联网(IoT)的11大云平台:AWS.Azure.谷歌云.Oracle. 2018-11-06 14:02 云技术 关键词:物联网AzureGoogleSalesforce云计算 导读:现在,我们将 ...

  2. [AWS vs Azure] 云计算里AWS和Azure的探究(1)

    转自:http://www.cnblogs.com/hotcan/archive/2013/01/31/2886794.html 云计算里AWS和Azure的探究(1) 全球领先的云的计算平台主要有两 ...

  3. [AWS vs Azure] 云计算里AWS和Azure的探究(2)

    Amazon EC2是Elastic Compute Cloud的简称,翻译成中文就是弹性计算云.它是Amazon云里面最基础的内容,也是发展到今天最成熟的部分,通过EC2, 你可以在Amazon的云 ...

  4. 面向 AWS 专家的 Azure 云服务介绍

    本文是面向 AWS 专家的 Azure 云服务介绍,参考本文可以帮助大家“按图索骥”在 Azure 的平台上找到能满足自己需求的服务. 公有云市场经过多年发展,已经涌现出几家大规模的提供商,如 Azu ...

  5. [AWS vs Azure] 云计算里AWS和Azure的探究(3)

    云计算里AWS和Azure的探究(3) ——Amazon EC2 和 Windows Azure Virtual Machine 今天我来比较一下AWS EC2和Azure VM的具体流程上的异同.以 ...

  6. 云计算之路-出海记:整一台 aws 免费云服务器

    上次蹭到一张船票,登上了 aws 这艘巨轮,今天要在船上的免费餐厅吃一顿免费晚餐 -- 整一台 aws 免费套餐中的 EC2 服务器体验一下. 进入 EC2 控制台,点击"启动实例" ...

  7. AWS免费云服务套餐申请步骤及常见问题

    AWS免费云服务套餐申请步骤及常见问题 AWS免费使用套餐常见问题_AWS免费云服务套餐_-AWS云服务https://amazonaws-china.com/cn/free/faqs/ 什么是 AW ...

  8. DYN-B201 Dynamics CRM 云生产力解决方案与功能简介

    DYN-B201 Dynamics CRM 云生产力解决方案与功能简介 讲师:王健.林松涛Dynamics CRM 云产品正式落地中国,CRM 与 Azure.O365 深度整合无缝集成,带来无与伦比 ...

  9. (视频) 《快速创建网站》1. 网站管理平台WordPress & 微软Azure 云计算简介

    网站并不神秘,过节了,在家闲的没事的,自己建个网站玩玩吧.每段视频不超过15分钟,地铁/公交/睡前/醒来看一段,几天之后变身建站专家,找老板加薪去! 在普通人眼里,创建网站是专业开发人员和IT工程师才 ...

  10. 【Android Developers Training】 89. 最大化的使用谷歌云消息(Google Cloud Messaging)

    注:本文翻译自Google官方的Android Developers Training文档,译者技术一般,由于喜爱安卓而产生了翻译的念头,纯属个人兴趣爱好. 原文链接:http://developer ...

随机推荐

  1. 简单的python线程池实现线程安全demo

    from concurrent.futures import ThreadPoolExecutor import threading import time import sys sys.path.a ...

  2. Jemter 压测基础(一)

    Jemter   压测基础(一) 1.压力测试的基本概念: 1.吞吐率(Requestspersecond) 服务器并发处理能力的量化描述,单位是reqs/s,指的是某个并发用户数下单位时间内处理的请 ...

  3. QTableWidget CSS样式

    QTableWidget { border:1px solid rgb(170, 170, 127); border-radius:3px; } QScrollBar::handle { backgr ...

  4. Expected space(s) after "default" keyword-spacing

    添加空格

  5. linux服务器项目迁移非常好用的工具scp和rsync

    linux系统下一般都安装了,启用一下就可以了 (1):编辑配置文件 # sudo vi /etc/default/rsync #ubuntu  # vi /etc/xinetd.d/rsync #c ...

  6. Required request part 'file' is not present

    问题描述: @RequestMapping(value = "upload", method = RequestMethod.POST,consumes = MediaType.M ...

  7. VS(Visual Studio)如何修改注释的快捷键(换成Ctrl+/)

    原文:https://blog.csdn.net/qq_51485453/article/details/123214455 1.点击"工具">"选项" ...

  8. nginx 工作流程

    NGINX 把http请求处理流程划分为11个阶段,逻辑细分,以模块为单位进行处理.各个阶段可以包含多个http模块,每个阶段以流水线的形式处理请求.这样的分层处理模式与计算机网络的7层模式类似,每个 ...

  9. Qt实现带有映射关系的进度条

    1.编写继承自widget的新类,这里我们定义为colorWidget; 2.在colorWidget中添加私有变量QVector<QRect> m_rects,用于存放进度条的不同区间( ...

  10. mark一下,python2.7版本不能直接print中文字符串,3.0以上的版本是可以的

    mark一下,python2.7版本不能直接print中文字符串,3.0以上的版本是可以的