AWS、谷歌云、Azure:云計算三巨頭安全功能比較

來源: 51CTO
作者:nana
時間:2021-07-08
17343
CISO面臨的難題是確定云服務提供商三巨頭——亞馬遜AWS、Microsoft Azure和Google Cloud,在提供安全彈性云平臺的方式上有何差異。

每個云平臺提供給客戶用以保護其云資產(chǎn)的安全工具和安全功能都不一樣。

公有云安全建立在共擔責任概念的基礎之上:大型云服務提供商交付安全的超大規(guī)模環(huán)境,但保護推上云端的一切是客戶自己的責任。對企業(yè)而言,這種安全責任分離在采用單一云供應商時已經(jīng)夠麻煩了,但若采用多云環(huán)境,甚至還會更加復雜棘手。

CISO面臨的難題是確定云服務提供商三巨頭——亞馬遜AWS、Microsoft Azure和Google Cloud,在提供安全彈性云平臺的方式上有何差異。哪家提供商可以提供最好的原生工具來保護云資產(chǎn)?你怎么說服專家同意所有超大規(guī)模服務提供商都能很好地保護自家云平臺?畢竟,交付安全的環(huán)境可是他們業(yè)務模型的重中之重。不同于預算受限的企業(yè),云服務提供商似乎擁有無限的資源。云服務提供商具備技術專業(yè)知識,而且,正如企業(yè)戰(zhàn)略集團(ESG)高級分析師Doug Cahill所言,“考慮到他們?nèi)蜻\營,擁有無數(shù)可用區(qū)域、存在點,觸角遍及全世界,他們每天都能看到無數(shù)惡意活動,可以在此可見性水平上構筑自身強大的防御?!?/p>

Securosis分析師兼首席執(zhí)行官Richard Mogull稱,盡管三巨頭傾向于保密內(nèi)部過程和程序,但在保障其數(shù)據(jù)中心物理安全、抵御內(nèi)部人攻擊和保護支撐應用及開發(fā)平臺運行的虛擬層安全方面,三巨頭的表現(xiàn)非常棒。

這三家都通過API暴露了更多的服務,并且試圖減少共擔責任模型相關的混亂或摩擦。Mogull稱:“這些平臺中每一個都提供了調(diào)用接口。企業(yè)的問題是弄清楚具體代碼行在哪里,以及跨多個云平臺廣泛部署安全?!?/p>

然而,三巨頭之間還是存在一些差異,這與其相對市場份額有關。AWS占有的市場份額最大,為31%。Azure正在努力趕上,目前以20%的市場份額位居第二。根據(jù)分析公司Canalys發(fā)布的2020年云服務營收分析報告,新參者谷歌的市場占有率為7%,以較大差距位居第三。

Amazon Web Services(AWS)

AWS是資歷最久也最成熟的云服務提供商。Mogull稱:“作為占據(jù)統(tǒng)治地位的提供商,AWS最大的優(yōu)勢是掌握著大量知識與工具,可以相對容易地獲得答案,找到幫助和支持工具。這些全都建立在該平臺的整體成熟度和規(guī)?;A上?!?/p>

亞馬遜共擔責任的安全模型聲明該公司負責底層云基礎設施的安全,而訂閱用戶負責保護云上部署的工作負載。具體講,客戶負責:

  • 保護客戶數(shù)據(jù)

  • 保護平臺、應用和操作系統(tǒng)

  • 實現(xiàn)身份與訪問管理(IAM)

  • 配置防火墻

  • 加密客戶端數(shù)據(jù)、服務器端文件系統(tǒng)和網(wǎng)絡流量

AWS為客戶提供了大量可用服務:

  • API活動監(jiān)測· 基礎威脅情報

  • Web應用防火墻(WAF)

  • 數(shù)據(jù)防泄漏

  • 漏洞評估

  • 用于自動化的安全事件觸發(fā)器

AWS在默認安全配置方面也做得很好。

Mogull補充道,“AWS安全功能中最好的兩項是他們尤為出色的安全組(防火墻)實現(xiàn)和細粒度的IAM?!辈贿^,AWS安全基于隔離服務,除非顯式授權,否則服務之間無法相互訪問。從安全的角度考慮,這種方式運行良好,但代價是讓企業(yè)范圍內(nèi)的管理更難了,而且更難以大規(guī)模管理IAM?!氨M管存在這些局限,AWS通常還是云平臺最佳選擇,選用AWS可以規(guī)避大多數(shù)安全問題?!?/p>

Microsoft Azure

Microsoft Azure也采用類似的共擔責任模型例如,在基礎設施即服務(IaaS)場景中,客戶負責數(shù)據(jù)分類與審計、客戶端與端點防護、身份與訪問管理、應用級和網(wǎng)絡級控制。Mogull稱,相對于AWS,Azure只是在成熟度上稍欠缺一些,尤其是在一致性、文檔方面,而且很多服務的默認配置確實不夠安全。

但是,Azure也具有一些優(yōu)勢。Azure Active Directory可連接企業(yè)Active Directory,從而為授權和權限管理提供真實單一來源,也就是說,所有事務都可以通過單一目錄加以管理。其間權衡在于,管理更加方便、更具一致性,但環(huán)境之間的隔離和相互保護程度比使用AWS更低了。另一項權衡折衷是:Azure的身份與訪問管理從一開始就是層次化的,比AWS容易管理,但AWS的粒度更細。

對于企業(yè)用戶而言,Azure還具有另外兩項重要功能:默認情況下,活動日志涵蓋整個企業(yè)各個區(qū)域的控制臺和API活動。此外,Azure Security Center管理控制臺覆蓋整個企業(yè),且可以配置,以便本地團隊能夠管理自己的警報。

Google Cloud

Googl Cloud建立在谷歌令人印象深刻的長期工程與全球運營基礎之上。谷歌提供的堅實內(nèi)置安全工具包括:

  • 云數(shù)據(jù)防泄漏

  • 密鑰管理

  • 資產(chǎn)清單

  • 加密

  • 防火墻

  • Shielded VMs

Google Security Command Center提供集中式可見性與控制,使客戶能夠發(fā)現(xiàn)錯誤配置與漏洞、監(jiān)測合規(guī)情況和檢測威脅。通過并購Stackdriver(如今已經(jīng)歷拓展,并更名為Google Cloud Operations),谷歌推出了一流的監(jiān)測與日志分析產(chǎn)品。谷歌還通過其BeyondCorp Enterprise零信任平臺提供身份與訪問控制措施。

然而,谷歌7%的市場份額是個問題,因為具有深厚Google Cloud經(jīng)驗的安全專家較少,社區(qū)也就不那么茁壯,可用工具數(shù)量也少。但是Google Cloud提供強大的集中式管理和默認安全配置,這些都是很重要的考慮因素??傮w上,Google Cloud不像AWS那么成熟,也不具備同樣的安全功能廣度。

內(nèi)部培訓和技能是關鍵

超大規(guī)模服務提供商為企業(yè)提供最佳實踐、指南、原生控制、工具、流量日志可見性,甚至能向企業(yè)警示存在錯誤配置的情況,但“訂閱用戶若想保護置于云端的所有資產(chǎn),就必須擔負起遵從最佳實踐、響應警報和采取恰當控制措施的責任?!?/p>

這意味著企業(yè)要承擔持續(xù)的責任,包括謹慎管理訪問控制、監(jiān)測云環(huán)境安全威脅、定期執(zhí)行滲透測試,以及就深入培訓企業(yè)員工,使其掌握云安全最佳實踐。

在每個公有云上建立起內(nèi)部專業(yè)知識非常重要。實現(xiàn)云安全時企業(yè)會犯的三個重大錯誤是:

(1) 認為云安全與當前在自家數(shù)據(jù)中心或私有云上所做的安全實踐相差無幾。但實際上,每個平臺都有本質(zhì)的不同。表面上看起來事情都是做熟了的那些,但往深里看卻又不盡然。企業(yè)必須建立起對所用技術平臺的深刻理解,如此才能在云端延續(xù)成功。沒有相應的技術和認知,就沒有成功的機會。

(2) 在準備好之前就遷移到多云環(huán)境。如果公司想要遷移到三個云上,那必須先針對全部三個云環(huán)境發(fā)展出相應的內(nèi)部專業(yè)知識。遷移到云端的步伐最好不要太快,在跳轉(zhuǎn)到下一個云前應先在一個云上積累夠?qū)I(yè)知識。

(3) 不關注治理。大多數(shù)與云環(huán)境相關的數(shù)據(jù)泄露都涉及憑證遺失或被盜,最終可以歸結(jié)為治理失敗問題。

Cahill agrees. 將數(shù)據(jù)中心外包給第三方存在一定程度的抽象。你實際上是通過與API交互來獲取服務。其中企業(yè)犯的幾類主要錯誤就是錯誤配置云服務、錯誤配置對象存儲(打開S3存儲桶)和在公開存儲庫中留下憑證或API密鑰。而云控制臺往往是由弱口令而非多因素身份驗證防護。

欲保護云端企業(yè)數(shù)據(jù),不妨參考如下建議:

  • 精通云安全共擔責任模型;理解各條原則都是什么。

  • 重視強化云配置。

  • 實現(xiàn)人員和非人員云身份最小權限訪問。

  • 實現(xiàn)自動化,使安全跟上DevOps的速度;自動化整個應用生命周期的安全集成。

  • 確保安全實現(xiàn)可跨團隊重復。大型企業(yè)具有多個項目團隊,各自都實現(xiàn)了自己的安全控制。

  • 采取自上而下方法實現(xiàn)所有項目團隊間安全策略統(tǒng)一。


立即登錄,閱讀全文
版權說明:
本文內(nèi)容來自于51CTO,本站不擁有所有權,不承擔相關法律責任。文章內(nèi)容系作者個人觀點,不代表快出海對觀點贊同或支持。如有侵權,請聯(lián)系管理員(zzx@kchuhai.com)刪除!
相關文章
新版GKE可管理最多6.5萬集群節(jié)點,超越AWS、Azure 10倍
新版GKE可管理最多6.5萬集群節(jié)點,超越AWS、Azure 10倍
Google Cloud公布最新Google Kubernetes Engine版本,號稱可支持最高達65,000個節(jié)點的服務器集群,以執(zhí)行超大型AI模型。
Google Cloud
云服務
云計算
2024-11-152024-11-15
Google Cloud細說AI變現(xiàn)途徑:用戶一年暴增10倍
Google Cloud細說AI變現(xiàn)途徑:用戶一年暴增10倍
Google云計算平臺(Google Cloud)首席執(zhí)行官Thomas Kurian在高盛舉行的會議上,說明了該公司究竟是通過哪些途徑將AI變現(xiàn)。
Google Cloud
谷歌云
云計算
2024-09-132024-09-13
云計算平臺GCP的服務存在權限提升漏洞,未經(jīng)授權的攻擊者可借此訪問敏感數(shù)據(jù)
云計算平臺GCP的服務存在權限提升漏洞,未經(jīng)授權的攻擊者可借此訪問敏感數(shù)據(jù)
7月24日安全企業(yè)Tenable披露影響Google Cloud Platform(GCP)的權限提升漏洞ConfusedFunction,這項弱點發(fā)生在名為Cloud Functions的無服務器運算服務,以及稱作Cloud Build的CICD渠道服務。
Google Cloud
谷歌云
云計算
2024-07-272024-07-27
Gemini為核心,Google云計算AI戰(zhàn)略聚焦云服務和生產(chǎn)力GAI
Gemini為核心,Google云計算AI戰(zhàn)略聚焦云服務和生產(chǎn)力GAI
過去一年,企業(yè)GAI應用的風潮席卷全球,成了三大公有云積極搶攻的新戰(zhàn)場,微軟靠著OpenAI助攻,去年在這場云計算GAI大戰(zhàn)中取得先機,而Google后來居上,靠著自家PaLM模型和GAI生產(chǎn)力工具來迎戰(zhàn),AWS則是到去年底年會上,對于企業(yè)GAI應用布局才有比較完整的布局與披露。
Google Cloud
谷歌云
云計算
2024-05-042024-05-04
優(yōu)質(zhì)服務商推薦
更多