每個云平臺提供給客戶用以保護其云資產(chǎn)的安全工具和安全功能都不一樣。
公有云安全建立在共擔責任概念的基礎之上:大型云服務提供商交付安全的超大規(guī)模環(huán)境,但保護推上云端的一切是客戶自己的責任。對企業(yè)而言,這種安全責任分離在采用單一云供應商時已經(jīng)夠麻煩了,但若采用多云環(huán)境,甚至還會更加復雜棘手。
CISO面臨的難題是確定云服務提供商三巨頭——亞馬遜AWS、Microsoft Azure和Google Cloud,在提供安全彈性云平臺的方式上有何差異。哪家提供商可以提供最好的原生工具來保護云資產(chǎn)?你怎么說服專家同意所有超大規(guī)模服務提供商都能很好地保護自家云平臺?畢竟,交付安全的環(huán)境可是他們業(yè)務模型的重中之重。不同于預算受限的企業(yè),云服務提供商似乎擁有無限的資源。云服務提供商具備技術專業(yè)知識,而且,正如企業(yè)戰(zhàn)略集團(ESG)高級分析師Doug Cahill所言,“考慮到他們?nèi)蜻\營,擁有無數(shù)可用區(qū)域、存在點,觸角遍及全世界,他們每天都能看到無數(shù)惡意活動,可以在此可見性水平上構筑自身強大的防御?!?/p>
Securosis分析師兼首席執(zhí)行官Richard Mogull稱,盡管三巨頭傾向于保密內(nèi)部過程和程序,但在保障其數(shù)據(jù)中心物理安全、抵御內(nèi)部人攻擊和保護支撐應用及開發(fā)平臺運行的虛擬層安全方面,三巨頭的表現(xiàn)非常棒。
這三家都通過API暴露了更多的服務,并且試圖減少共擔責任模型相關的混亂或摩擦。Mogull稱:“這些平臺中每一個都提供了調(diào)用接口。企業(yè)的問題是弄清楚具體代碼行在哪里,以及跨多個云平臺廣泛部署安全?!?/p>
然而,三巨頭之間還是存在一些差異,這與其相對市場份額有關。AWS占有的市場份額最大,為31%。Azure正在努力趕上,目前以20%的市場份額位居第二。根據(jù)分析公司Canalys發(fā)布的2020年云服務營收分析報告,新參者谷歌的市場占有率為7%,以較大差距位居第三。
AWS是資歷最久也最成熟的云服務提供商。Mogull稱:“作為占據(jù)統(tǒng)治地位的提供商,AWS最大的優(yōu)勢是掌握著大量知識與工具,可以相對容易地獲得答案,找到幫助和支持工具。這些全都建立在該平臺的整體成熟度和規(guī)?;A上?!?/p>
亞馬遜共擔責任的安全模型聲明該公司負責底層云基礎設施的安全,而訂閱用戶負責保護云上部署的工作負載。具體講,客戶負責:
保護客戶數(shù)據(jù)
保護平臺、應用和操作系統(tǒng)
實現(xiàn)身份與訪問管理(IAM)
配置防火墻
加密客戶端數(shù)據(jù)、服務器端文件系統(tǒng)和網(wǎng)絡流量
AWS為客戶提供了大量可用服務:
API活動監(jiān)測· 基礎威脅情報
Web應用防火墻(WAF)
數(shù)據(jù)防泄漏
漏洞評估
用于自動化的安全事件觸發(fā)器
AWS在默認安全配置方面也做得很好。
Mogull補充道,“AWS安全功能中最好的兩項是他們尤為出色的安全組(防火墻)實現(xiàn)和細粒度的IAM?!辈贿^,AWS安全基于隔離服務,除非顯式授權,否則服務之間無法相互訪問。從安全的角度考慮,這種方式運行良好,但代價是讓企業(yè)范圍內(nèi)的管理更難了,而且更難以大規(guī)模管理IAM?!氨M管存在這些局限,AWS通常還是云平臺最佳選擇,選用AWS可以規(guī)避大多數(shù)安全問題?!?/p>
Microsoft Azure也采用類似的共擔責任模型例如,在基礎設施即服務(IaaS)場景中,客戶負責數(shù)據(jù)分類與審計、客戶端與端點防護、身份與訪問管理、應用級和網(wǎng)絡級控制。Mogull稱,相對于AWS,Azure只是在成熟度上稍欠缺一些,尤其是在一致性、文檔方面,而且很多服務的默認配置確實不夠安全。
但是,Azure也具有一些優(yōu)勢。Azure Active Directory可連接企業(yè)Active Directory,從而為授權和權限管理提供真實單一來源,也就是說,所有事務都可以通過單一目錄加以管理。其間權衡在于,管理更加方便、更具一致性,但環(huán)境之間的隔離和相互保護程度比使用AWS更低了。另一項權衡折衷是:Azure的身份與訪問管理從一開始就是層次化的,比AWS容易管理,但AWS的粒度更細。
對于企業(yè)用戶而言,Azure還具有另外兩項重要功能:默認情況下,活動日志涵蓋整個企業(yè)各個區(qū)域的控制臺和API活動。此外,Azure Security Center管理控制臺覆蓋整個企業(yè),且可以配置,以便本地團隊能夠管理自己的警報。
Googl Cloud建立在谷歌令人印象深刻的長期工程與全球運營基礎之上。谷歌提供的堅實內(nèi)置安全工具包括:
云數(shù)據(jù)防泄漏
密鑰管理
資產(chǎn)清單
加密
防火墻
Shielded VMs
Google Security Command Center提供集中式可見性與控制,使客戶能夠發(fā)現(xiàn)錯誤配置與漏洞、監(jiān)測合規(guī)情況和檢測威脅。通過并購Stackdriver(如今已經(jīng)歷拓展,并更名為Google Cloud Operations),谷歌推出了一流的監(jiān)測與日志分析產(chǎn)品。谷歌還通過其BeyondCorp Enterprise零信任平臺提供身份與訪問控制措施。
然而,谷歌7%的市場份額是個問題,因為具有深厚Google Cloud經(jīng)驗的安全專家較少,社區(qū)也就不那么茁壯,可用工具數(shù)量也少。但是Google Cloud提供強大的集中式管理和默認安全配置,這些都是很重要的考慮因素??傮w上,Google Cloud不像AWS那么成熟,也不具備同樣的安全功能廣度。
超大規(guī)模服務提供商為企業(yè)提供最佳實踐、指南、原生控制、工具、流量日志可見性,甚至能向企業(yè)警示存在錯誤配置的情況,但“訂閱用戶若想保護置于云端的所有資產(chǎn),就必須擔負起遵從最佳實踐、響應警報和采取恰當控制措施的責任?!?/p>
這意味著企業(yè)要承擔持續(xù)的責任,包括謹慎管理訪問控制、監(jiān)測云環(huán)境安全威脅、定期執(zhí)行滲透測試,以及就深入培訓企業(yè)員工,使其掌握云安全最佳實踐。
在每個公有云上建立起內(nèi)部專業(yè)知識非常重要。實現(xiàn)云安全時企業(yè)會犯的三個重大錯誤是:
(1) 認為云安全與當前在自家數(shù)據(jù)中心或私有云上所做的安全實踐相差無幾。但實際上,每個平臺都有本質(zhì)的不同。表面上看起來事情都是做熟了的那些,但往深里看卻又不盡然。企業(yè)必須建立起對所用技術平臺的深刻理解,如此才能在云端延續(xù)成功。沒有相應的技術和認知,就沒有成功的機會。
(2) 在準備好之前就遷移到多云環(huán)境。如果公司想要遷移到三個云上,那必須先針對全部三個云環(huán)境發(fā)展出相應的內(nèi)部專業(yè)知識。遷移到云端的步伐最好不要太快,在跳轉(zhuǎn)到下一個云前應先在一個云上積累夠?qū)I(yè)知識。
(3) 不關注治理。大多數(shù)與云環(huán)境相關的數(shù)據(jù)泄露都涉及憑證遺失或被盜,最終可以歸結(jié)為治理失敗問題。
Cahill agrees. 將數(shù)據(jù)中心外包給第三方存在一定程度的抽象。你實際上是通過與API交互來獲取服務。其中企業(yè)犯的幾類主要錯誤就是錯誤配置云服務、錯誤配置對象存儲(打開S3存儲桶)和在公開存儲庫中留下憑證或API密鑰。而云控制臺往往是由弱口令而非多因素身份驗證防護。
欲保護云端企業(yè)數(shù)據(jù),不妨參考如下建議:
精通云安全共擔責任模型;理解各條原則都是什么。
重視強化云配置。
實現(xiàn)人員和非人員云身份最小權限訪問。
實現(xiàn)自動化,使安全跟上DevOps的速度;自動化整個應用生命周期的安全集成。
確保安全實現(xiàn)可跨團隊重復。大型企業(yè)具有多個項目團隊,各自都實現(xiàn)了自己的安全控制。
采取自上而下方法實現(xiàn)所有項目團隊間安全策略統(tǒng)一。