AWS、谷歌云和Azure：云計算三巨頭的安全功能比較

CISO面臨的難題是確定云服務(wù)提供商三巨頭——亞馬遜AWS、Microsoft Azure和Google Cloud——中哪一個能夠提供最佳安全性，這個問題分為兩部分：哪一個在保護(hù)自己的基礎(chǔ)設(shè)施方面做得最好?哪一個在幫助企業(yè)保護(hù)數(shù)據(jù)和應(yīng)用程序安全方面做得最好?

公有云安全建立在“責(zé)任共擔(dān)”模型之上：大型云服務(wù)提供商交付安全的超大規(guī)模環(huán)境，但保護(hù)移向云端的一切是客戶自己的責(zé)任。對企業(yè)而言，這種安全責(zé)任分離在采用單一云供應(yīng)商時已經(jīng)夠麻煩了，若采用多云環(huán)境，會更加復(fù)雜棘手。

正如資深安全專家Andy Ellis所說，“責(zé)任共擔(dān)模型看起來非常清晰和簡單，但實際上經(jīng)不起檢查。企業(yè)很難解析云平臺與在其上運行的應(yīng)用程序之間的關(guān)聯(lián)?，F(xiàn)實情況是，客戶如何配置云服務(wù)對應(yīng)用程序的安全性至關(guān)重要?？蛻艨赡苊媾R的棘手情況非常多?！?/p>

然而，將云服務(wù)提供商的責(zé)任和客戶的角色分隔開的那堵堅墻已經(jīng)開始坍塌。ESG高級分析師Melinda Marks表示，為了讓自己脫穎而出，云服務(wù)供應(yīng)商正在認(rèn)識到責(zé)任共擔(dān)模式的缺陷，并試圖與客戶建立更多的合作關(guān)系。

那么，CISO如何確定三大云服務(wù)提供商在解決這些問題和提供安全且有彈性的云平臺的方式上有何差異?

在深入了解每個供應(yīng)商的具體細(xì)節(jié)之前，以下是Securosis分析師兼首席執(zhí)行官Richard Mogull列出的三個基本出發(fā)點：

1.三巨頭傾向于保密內(nèi)部過程和程序，它們都在保護(hù)數(shù)據(jù)中心的物理安全、抵御內(nèi)部人攻擊以及保護(hù)支撐應(yīng)用及開發(fā)平臺運行的虛擬層安全方面做得十分出色。

2.云本質(zhì)上是一種新型的數(shù)據(jù)中心，每個云服務(wù)提供商在技術(shù)層面和實際實施細(xì)節(jié)方面都有根本的不同。企業(yè)的最佳選擇是投資員工培訓(xùn)，以便他們能夠獲取在這些云環(huán)境中操作的專業(yè)知識。

3.除了每個供應(yīng)商平臺的具體細(xì)節(jié)之外，Mogull認(rèn)為市場份額與擁有最廣泛的第三方工具、最深入的知識庫和最大的社區(qū)相關(guān)。根據(jù)分析公司Canalys對2022年第一季度云服務(wù)收入的分析結(jié)果顯示，AWS擁有33%的市場份額，Azure以21%位居第二，谷歌以8%位居第三。

谷歌云：從“責(zé)任共擔(dān)”到“命運共同體”

在重新定義責(zé)任共擔(dān)模式方面，Google的口號最具轟動效應(yīng)。Google創(chuàng)造了一個新術(shù)語，稱之為“共同命運”。

根據(jù)谷歌CISO Phil Venables的說法，“責(zé)任共擔(dān)模型在誰處理威脅檢測、配置最佳實踐以及安全違規(guī)和異常活動警報的某些方面產(chǎn)生了‘不確定性’。共同命運代表了在云服務(wù)提供商與其客戶之間建立更緊密合作關(guān)系的下一步演進(jìn)，以便每個人都能更好地應(yīng)對當(dāng)前和日益增長的安全挑戰(zhàn)，同時仍能兌現(xiàn)數(shù)字化轉(zhuǎn)型的承諾?！?/p>

“共同命運”的功能包括旨在確保安全基礎(chǔ)的默認(rèn)配置、幫助客戶更輕松地配置產(chǎn)品和服務(wù)的藍(lán)圖以及安全策略層次結(jié)構(gòu)，以便在整個基礎(chǔ)架構(gòu)中自動啟用策略意圖。此外，谷歌還有一個計劃，將云客戶與為谷歌云工作負(fù)載提供專業(yè)保險的保險公司聯(lián)系起來，提供獨特的風(fēng)險管理組件。

在比較三巨頭時，谷歌處于一個有趣的位置。Mogull指出，谷歌云建立在谷歌的長期工程和全球運營之上，令人印象深刻。

然而，Mogull指出，谷歌僅占據(jù)8%的云計算市場份額是一個問題，這意味著具有深厚谷歌云經(jīng)驗的安全專家較少，社區(qū)的健壯性和工具也較少。他說，總體而言，谷歌云不如AWS成熟，也沒有同樣廣泛的安全功能。

谷歌正在努力解決這個問題，并于最近宣布了一種被稱為“隱形安全”(invisible security)的概念。這個想法是谷歌將繼續(xù)擴(kuò)展其云原生安全產(chǎn)品，以便客戶可以減少對第三方工具的依賴。

一個例子是谷歌的Cloud IDS，這是一種托管入侵檢測系統(tǒng)，企業(yè)只需單擊幾下即可部署該系統(tǒng)，以保護(hù)自己免受惡意軟件、間諜軟件、命令和控制攻擊以及其他基于網(wǎng)絡(luò)的威脅。

Microsoft Azure重點解決多云安全問題

微軟通過發(fā)布Microsoft Defender for Cloud開始努力應(yīng)對保護(hù)多云環(huán)境的挑戰(zhàn)，它提供跨Azure、AWS和Google Cloud的云安全狀態(tài)管理(CSPM)和云工作負(fù)載保護(hù)(CWP)。

這些工具的目標(biāo)是找到跨云配置的薄弱環(huán)節(jié)，幫助強(qiáng)化整體安全態(tài)勢，并保護(hù)工作負(fù)載免受跨多云和混合環(huán)境不斷演變的威脅。Microsoft Defender for Cloud涵蓋虛擬機(jī)、容器、數(shù)據(jù)庫、存儲和應(yīng)用程序服務(wù)。

但是，責(zé)任共擔(dān)模型仍然存在于Azure云中。企業(yè)仍需對其數(shù)據(jù)和身份、本地資源、端點、帳戶和訪問管理的安全負(fù)責(zé)。

Mogull表示，Azure只是比AWS在成熟度方面略遜一籌，尤其是在一致性、文檔以及許多服務(wù)默認(rèn)使用不太安全的配置方面。但Azure確實有一些優(yōu)勢，Azure Active Directory可以鏈接到企業(yè)Active Directory，為授權(quán)和權(quán)限管理提供單一事實來源，這意味著可以從單個目錄管理所有內(nèi)容。Mogull認(rèn)為，Azure的身份和訪問管理層次分明，開箱即用，并且比AWS更易于管理。

就市場勢頭而言，Mogull表示微軟正在強(qiáng)勢崛起，因為它知道如何利用其與企業(yè)客戶的現(xiàn)有關(guān)系。然而，他警告稱，企業(yè)應(yīng)該考慮到微軟并沒有像純粹的安全供應(yīng)商那樣將安全融入DNA中。

Amazon Web Services(AWS)提供廣泛的安全工具集

作為歷史最悠久、最具主導(dǎo)地位的云服務(wù)供應(yīng)商，AWS在知識和工具方面具有絕對優(yōu)勢。Mogull表示，“更容易獲得答案、尋求幫助和找到支持的工具。這是AWS平臺整體成熟度的基礎(chǔ)?！?/p>

AWS擁有龐大的第三方供應(yīng)商市場，并提供各種附加產(chǎn)品以及咨詢、培訓(xùn)和認(rèn)證服務(wù)。Marks指出，AWS對他們擁有的功能進(jìn)行了很多思考。例如Inspector，這是一項持續(xù)掃描Amazon EC2實例和容器映像，以查找軟件漏洞和意外網(wǎng)絡(luò)暴露的服務(wù)。

Amazon GuardDuty是一項威脅檢測服務(wù)，可持續(xù)監(jiān)控AWS賬戶和工作負(fù)載的惡意活動，并提供詳細(xì)的安全調(diào)查結(jié)果以獲取可見性和補(bǔ)救方案。

這些附加服務(wù)和其他服務(wù)都屬于AWS Security Hub的范疇，后者從AWS服務(wù)和第三方合作伙伴收集安全數(shù)據(jù)，并提供客戶安全狀態(tài)的綜合視圖。

Mogull補(bǔ)充道，AWS的兩個最好的安全功能是對安全組(防火墻)和精細(xì)IAM的出色實施。但是，除非明確啟用訪問權(quán)限，否則AWS安全性仍然主要基于將服務(wù)彼此隔離。從安全角度來看，這很有效，但代價是使企業(yè)規(guī)?；墓芾碜兊酶永щy，同時加劇大規(guī)模管理IAM的難度。