本指南介绍了AWS、MicrosoftAzure和GoogleCloud提供的网络、基础设施、数据和应用程序安全功能,以防止网络攻击并保护基于云的资源和工作负载。企业在选择公共云服务提供商时面临的最大考虑因素是他们提供的网络安全级别,这意味着他们拥有保护自己的网络和服务以及保护客户数据免受入侵和其他攻击的能力。三大云服务提供商——AmazonWebServices(AWS)、GoogleCloudPlatform(GCP)和MicrosoftAzure——非常重视安全性,而且原因显而易见。一个广为人知的安全漏洞最终被归咎于他们的服务可能会吓跑无数潜在客户,造成数百万美元的损失,并可能导致合规处罚。以下是三大云服务提供商在网络安全的四个关键领域提供的服务。1.网络和基础设施安全AWS提供了许多安全功能和服务,旨在增加隐私和控制网络访问。其中包括允许客户创建专用网络并控制对实例或应用程序的访问的网络防火墙。公司可以通过AWS服务控制传输中的加密。还包括启用专用或专用连接的连接选项;可以作为应用程序和内容交付策略的一部分应用的分布式拒绝服务缓解技术;自动加密AWS全球和区域网络上AWS安全设施之间的所有流量。谷歌GCP专门设计并实现了安全硬件,例如Titan,这是GCP用于为其服务器和外围设备建立硬件信任根的定制安全芯片。Google构建了自己的网络硬件以提高安全性。这一切都反映在其数据中心设计中,其中包括多层物理和逻辑保护。在网络方面,GCP已经设计并继续开发全球网络基础设施,以支持其云服务免受分布式拒绝服务(DDoS)等攻击,并保护其服务和客户。2017年,该基础设施遭受了2.5TbpsDDoS攻击,这是有史以来最高带宽的攻击。除了其全球网络基础设施的内置功能外,GCP还提供客户可以选择部署的网络安全功能。这些服务包括CloudLoadBalancing和CloudShield,后者是一种可抵御DDoS和应用程序攻击的网络安全服务。Google采用多种安全措施来帮助确保传输数据的真实性、完整性和隐私性。当数据移动到Google控制的物理边界之外时,它会在一个或多个网络层对传输中的数据进行加密和验证。MicrosoftAzure在由Microsoft管理和运营的数据中心中运行。据该公司称,这些地理位置分散的数据中心符合安全性和可靠性的关键行业标准。数据中心由具有多年经验的微软运营人员管理、监控和管理。Microsoft还对运营商进行后台身份验证检查,并根据后台身份验证级别限制对应用程序、系统和网络基础设施的访问。Azure防火墙是一种托管的、基于云的网络安全服务,可保护Azure虚拟网络资源。它是一种状态防火墙服务,具有内置的高可用性和无限的可扩展性。Azure防火墙可以解密出站流量,执行所需的安全检查,然后在将流量转发到目的地之前重新加密流量。管理员可以允许或拒绝用户访问赌博、社交媒体或其他网站类别。2.身份和访问控制AWS提供了跨AWS服务定义、实施和管理用户访问策略的能力。其中包括AWSIdentityandAccessManagement(IAM),它允许公司为使用AWS资源的单个用户账户定义权限,以及AWSMulti-FactorAuthenticationforPrivilegedAccounts,它包括基于软件和硬件的身份验证选项。AWSIAM可用于授予员工和应用程序对AWS管理控制台和AWS服务API的联合访问权限,使用现有身份系统(例如MicrosoftActiveDirectory或其他合作伙伴产品)。AWS还提供AWS目录服务(AWSDirectoryService),它允许组织与企业目录集成和联合,以减少管理开销并改善最终用户体验,以及AWS单点登录(SSO),它允许组织管理用户访问访问AWS中所有账户的权限。GoogleGCP的CloudIdentityandAccessManagement提供了多种方式来管理GoogleCloud中的身份和角色。首先,CloudIAM允许管理员授权谁可以对特定资源采取行动,提供完全控制和可见性以集中管理GCP资源。此外,对于具有复杂组织结构、数百个工作组和许多项目的企业,CloudIAM提供了整个组织安全策略的统一视图,并内置审计功能以简化合规流程。CloudIdentity也可用,这是一种集中管理用户和组的身份即服务(idas)。公司可以配置CloudIdentity以联合Google和其他身份提供商之间的身份。GCP还提供Titan安全密钥,它提供加??密证明,证明用户正在与合法服务(即他们已注册安全密钥的服务)进行交互,并且他们拥有安全密钥。最后,CloudResourceManager提供了组织、文件夹、项目等资源容器,允许组织对GCP资源进行分层分组和组织。Microsoft的AzureActiveDirectory(AzureAD)是一种企业身份服务,可提供单点登录、多因素身份验证和对Azure服务、企业网络、预部署资源和数以千计的SaaS应用程序的条件访问。AzureAD使组织能够通过安全的自适应访问保护身份,通过统一的身份管理简化访问和简化控制,并确保符合简化的身份管理。微软表示,它可以帮助用户抵御99.9%的网络安全攻击。3.数据保护和加密AWS能够为云中的静态数据添加一层安全保护。它提供可扩展的加密,包括大多数AWS服务中的静态数据加密,包括AmazonEBS、AmazonS3、AmazonRDS、AmazonRedshift、AmazonElastiCache、AWSLambda和AmazonSageMaker。此外,还提供灵活的密钥管理选项,包括AWSKeyManagementService,企业可以选择是让AWS管理加密密钥还是完全控制自己的密钥;使用AWSclouddhsm密钥存储的专用、基于硬件的加密;并使用AmazonSQS的服务器端加密(SSE)加密消息队列来传输敏感数据。谷歌提供机密计算,它称之为“突破性”技术,可以在数据被使用时加密数据,也就是在数据被处理时。机密计算环境将数据加密保存在内存中和中央处理器之外的其他地方。机密计算产品组合中的第一个产品是机密虚拟机。谷歌已经使用各种隔离和沙盒技术作为其云基础架构的一部分,以帮助保护其多租户架构,而ConfidentialVMs通过提供内存加密将其提升到一个新的水平,因此用户可以在云工作负载中进一步隔离自己。另一个产品CloudExternalKeyManager(CloudEKM)允许组织使用他们在受支持的外部密钥管理合作伙伴处管理的密钥来保护GoogleCloudPlatform中的数据。公司可以通过控制密钥的创建、位置和分发来维护第三方密钥的密钥出处。他们还可以完全控制谁可以访问他们的密钥。AzureKeyVault有助于保护云应用程序和服务使用的加密密钥和机密。AzureKeyVault旨在简化密钥管理流程,使公司能够保持对访问和加密数据的密钥的控制。开发人员可以在几分钟内创建用于开发和测试的密钥,然后将它们迁移到生产密钥。安全管理员可以根据需要授予和撤销密钥权限。Microsoft信息保护和Microsoft信息治理有助于保护和管理Microsoft365中的数据。Microsoft信息保护扩展了所有Microsoft365应用和服务以及Windows10和Edge的数据丢失防护。AzurePurview帮助组织了解结构化数据的位置,以便更好地保护和管理它们。4.应用程序安全AWSShield是一种托管DDoS保护服务,用于保护在亚马逊云上运行的应用程序。AWSShield提供始终在线的检测和自动在线缓解措施,旨在最大限度地减少应用程序停机时间和延迟。AWSShield有两个层级,标准层和高级层。所有AWS客户都有权享受AWSShield标准的自动保护。该公司表示,该标准可防止针对网站或应用程序的最常见的网络层和传输层DDoS攻击。当ShieldStandard与AmazonCloudFront和AmazonRoute53一起使用时,客户可以完全免受所有已知基础设施攻击。要为在AmazonEC2、ElasticLoadBalancing、AmazonCloudFront、AWSGlobalAccelerator和AmazonRoute53资源上运行的应用程序提供更高级别的保护,公司可以选择AWSShieldAdvanced。除了ShieldStandard附带的网络层和传输层保护外,ShieldAdvanced还提供针对大型和复杂DDoS攻击的额外检测和缓解、接近实时的攻击可见性以及与云提供商的Web应用程序防火墙的集成,AWSWAF。GoogleWAAP(云Web应用程序和API保护)为Web应用程序和API提供全面的威胁保护。CloudWAAP基于Google用于保护面向公众的服务免受Web应用程序攻击、DDoS攻击、欺诈性机器人活动和API目标威胁的相同技术。云WAAP代表了从孤岛保护到统一应用程序保护的转变,旨在提供更好的威胁预防、更高的运营效率以及统一的可见性和遥测。谷歌表示,它还提供跨云和本地环境的保护。CloudWAAP结合了三种产品以提供针对威胁和欺诈的全面保护。一个是GoogleCloudArmor,它是GCP全球负载平衡基础设施的一部分,提供Web应用程序防火墙和反DDoS功能。另一个是ApigeeAPIManagement,它提供API生命周期管理功能,并且非常注重安全性。第三个是reCaptchaEnterprise,可防止欺诈活动、垃圾邮件和滥用行为,例如凭据填充、自动创建帐户和来自自动机器人的攻击。另一个GCP产品CloudSecurityScanner可以扫描漏洞并提供对Web应用程序漏洞的洞察,使公司能够在不法分子利用漏洞之前采取行动。MicrosoftAzureCloudApplicationSecurity是一种云应用程序安全代理,它结合了多功能可见性、数据传输控制、用户活动监控和复杂分析,使客户能够识别和应对对所有Microsoft和第三方云服务的网络威胁。CloudAppSecurity专为信息安全专业人员设计。它原生集成了AzureActiveDirectory、MicrosoftIntune和MicrosoftInformationProtection等安全和身份工具,支持日志收集、API连接器、反向代理等多种部署方式。*原文:https://www.infoworld.com/article/3634111/cyber-security-in-the-public-cloud.html
