AWS、微软Azure、谷歌云提供的网络、基础设施、数据和应用安全能力的简要指南,可帮助企业防范网络攻击,保护企业基于云的资源和工作负载。企业在选择公共云服务提供商时最重要的考虑因素是他们提供的网络安全级别,这意味着他们为保护自己的网络和服务以及保护客户数据免受破坏和其他攻击而实施的特性和功能。世界三大云计算提供商AWS、MicrosoftAzure和GoogleCloud都非常重视安全,原因不言而喻。如果他们提供的云服务存在广为人知的安全漏洞,此类事件可能会吓跑潜在客户,造成数百万美元的损失,并可能导致合规处罚。以下是世界三大云计算提供商在网络安全的四个关键领域提供的服务。1.网络和基础设施安全(1)AWSAWS云平台提供多种安全功能和服务,旨在增强隐私和控制网络访问。其中包括允许客户创建专用网络并控制对实例或应用程序的访问的网络防火墙。企业可以控制AWS服务的传输加密。还包括启用专用或专用连接的连接选项;分布式拒绝服务缓解技术,可用作应用程序和内容交付策略的一部分;自动加密全球和区域网络上AWS安全设施之间的所有流量。(2)谷歌云谷歌专门设计并采用安全硬件来保障安全,例如定制的安全芯片Titan。谷歌云平台(GoogleCloud)使用它为其服务器和外围设备提供安全基础。Google构建自己的网络硬件以提高安全性。这一切都以其数据中心设计为中心,其中包括多层物理和逻辑保护。在网络方面,谷歌云平台设计并持续开发全球网络基础设施,以支持其云服务免受分布式拒绝服务(DDoS)等攻击,保护其服务和客户。2017年,谷歌云平台的基础设施遭到2.5TbpsDDoS攻击,这是有史以来最高带宽的攻击。除了其全球网络基础设施的内置能力外,谷歌云平台还提供客户可以选择部署的网络安全能力。其中包括CloudLoadBalancing和CloudArmor,这是一种可防止DDoS和应用程序攻击的网络安全服务。Google采用多种安全措施来帮助确保传输数据的真实性、完整性和隐私性。当数据移出公司的物理边界时,它会在一个或多个网络层对传输中的数据进行加密和验证。(3)MicrosoftAzureMicrosoftAzure运行于由微软公司管理和运营的数据中心。微软表示,地理上分散的数据中心符合安全性和可靠性的关键行业标准。数据中心由具有多年经验的微软公司运营人员管理、监控和管理。微软还对运营人员进行背景验证检查,并根据背景验证的级别限制对应用程序、系统和网络基础设施的访问。Azure防火墙是一种托管的、基于云的网络安全服务,用于保护Azure虚拟网络资源。它是一种完全有状态的防火墙即服务,具有内置的高可用性和不受限制的可扩展性。Azure防火墙可以解密出站流量,执行所需的安全检查,然后在将流量转发到目的地之前重新加密流量。管理员可以允许或拒绝用户访问网站类别,例如赌博网站和社交媒体等。2.身份和访问控制(1)AWSAWS公司提供定义、实施和管理跨AWS服务的用户访问策略的功能。其中包括AWSIdentityandAccessManagement(IAM),它允许企业定义具有跨AWS资源权限的个人用户帐户,以及AWS特权帐户的多因素身份验证,其中包括基于软件和硬件的身份验证器选项。AWSIAM可用于授予员工和应用程序对AWS管理控制台和AWS服务API的联合访问权限,使用现有身份系统(例如MicrosoftActiveDirectory或其他合作伙伴产品)。(2)GoogleCloudGoogle的云计算身份和访问管理提供了多种方式来管理GoogleCloud中的身份和角色。首先,CloudIAM允许管理员授权谁可以对特定资源执行操作,从而提供对集中管理的GoogleCloudPlatform资源的完全控制和可见性。此外,对于具有复杂组织结构、数百个工作组和许多项目的企业,CloudIAM提供了整个组织安全策略的统一视图,并内置审计功能以简化合规流程。您还可以使用CloudIdentity,这是一种集中管理用户和组的身份即服务(IDaaS)产品。企业可以配置CloudIdentity以联合GoogleInc.和其他身份提供商之间的身份。GoogleCloudPlatform还提供Titan安全密钥,以提供加密证明,证明用户正在与合法服务(即他们注册安全密钥的服务)进行交互,并且他们拥有安全密钥。最后,CloudResourceManager提供了组织、文件夹、项目等资源容器,让企业可以对谷歌云平台资源进行分组和分层组织。(3)MicrosoftAzureAzureActiveDirectory(AzureAD)是一种企业身份服务,提供对Azure服务以及企业网络、本地资源和数以千计的SaaS应用程序的单点登录、多因素身份验证和条件访问.AzureAD使企业能够通过安全的自适应访问保护身份,通过统一的身份管理简化访问和控制,并确保符合简化的身份治理。微软表示,它可以帮助保护用户免受99.9%的网络安全攻击。3.数据保护和加密(1)AWSAWS可以为云端的静态数据增加一层安全保护。它提供可扩展的加密,包括大多数AWS服务中的静态数据加密,包括AmazonEBS、AmazonS3、AmazonRDS、AmazonRedshift、AmazonElastiCache、AWSLambda和AmazonSageMaker。还提供灵活的密钥管理选项,包括AWSKeyManagementService,它允许公司选择是让AWS管理加密密钥还是完全控制自己的密钥;使用AWSCloudHSM的基于硬件的专用加密密钥存储;以及使用AmazonSQS的服务器端加密(SSE)传输敏感数据的加密消息队列。(2)谷歌云提供机密计算的谷歌称其为一种“突破性”技术,可以对使用中的数据进行加密——也就是在处理数据时。机密计算环境对内存中和中央处理单元之外的其他地方的数据进行加密。机密计算产品组合中的第一个产品是机密虚拟机。谷歌已经使用各种隔离和沙盒技术作为其云计算基础架构的一部分,以帮助保护其多租户架构,而机密虚拟机通过提供内存加密将其提升到一个新的水平,因此用户可以进一步隔离云中的工作负载。另一个产品CloudExternalKeyManager(CloudEKM)允许企业使用受支持的外部密钥管理合作伙伴管理的密钥来保护GoogleCloudPlatform中的数据。企业可以维护第三方密钥的密钥出处,并控制密钥的创建、定位和分发。他们还可以完全控制谁可以访问他们的密钥。(3)MicrosoftAzureAzureKeyVault有助于保护云计算应用程序和服务使用的加密密钥和秘密。AzureKeyVault旨在简化密钥管理流程,使企业能够保持对访问和加密数据的密钥的控制。开发人员可以在几分钟内创建用于开发和测试的密钥,然后将它们迁移到生产密钥。安全管理员可以根据需要授予和撤销对密钥的权限。Microsoft信息保护和Microsoft信息治理有助于保护和管理Microsoft365中的数据。Microsoft信息保护将数据丢失防护扩展到所有Microsoft365应用和服务,以及Windows10和Edge。AzurePermissions可帮助组织了解其结构化数据所在的位置,以便更好地保护和管理它。4.应用安全(1)AWSAWSShield是一种托管的DDoS防护服务,可以保护运行在AWS云平台上的应用。AWSShield提供始终在线的检测和自动内联缓解措施,旨在最大限度地减少应用程序停机时间和延迟。AWSShield提供标准层和高级层。所有AWS客户都有权使用AWSShieldStandard进行自动保护,该公司表示,该标准可以防止针对网站或应用程序的最常见的网络层和传输层DDoS攻击。当ShieldStandard与AmazonCloudFront和AmazonRoute53一起使用时,客户将获得针对其基础设施的所有已知攻击的全面保护。为了针对在AmazonEC2、ElasticLoadBalancing、AmazonCloudFront、AWSGlobalAccelerator和AmazonRoute53资源上运行的应用程序的攻击提供更高级别的保护,企业可以选择AWSShieldAdvanced。除了ShieldStandard附带的网络层和传输层保护外,ShieldAdvanced还为大型和复杂的DDoS攻击提供额外的检测和缓解,近乎实时的攻击可见性,并与云提供商的Web应用程序防火墙集成,AWSWAF。融合的。(2)谷歌云GoogleCloudWebApplicationandAPIProtection(WAAP)为网络应用程序和API提供全面的威胁防护。CloudWAAP基于谷歌用于保护其面向公众的服务免受Web应用程序攻击、DDoS攻击、欺诈性机器人活动和API目标威胁的相同技术。云WAAP代表了从孤立到统一应用程序保护的转变,旨在提供改进的威胁预防、更高的运营效率以及整合的可见性和遥测。谷歌表示,它还提供跨云平台和本地环境的保护。CloudWAAP结合了三种产品以提供针对威胁和欺诈的全面保护。一个是GoogleCloudArmor,它是Google全球负载平衡基础架构的一部分,可提供Web应用程序防火墙和DDoS功能。另一个是ApigeeAPIManagement,它提供API生命周期管理功能,并且非常注重安全性。第三个是reCaptchaEnterprise,它可以防止欺诈活动、垃圾邮件和滥用,例如凭据填充、自动帐户创建和自动机器人攻击。另一个GoogleCloudPlatform产品CloudSecurityScanner可以扫描漏洞并提供对Web应用程序漏洞的洞察力,并允许企业在不法分子利用它们之前采取行动。(3)MicrosoftAzureMicrosoftCloudAppSecurity是一种云应用程序安全代理,结合了多功能可见性、数据传输控制、用户活动监控和复杂分析,使客户能够识别和响应其所有Microsoft和第三方云网络服务中的威胁。CloudAppSecurity专为信息安全专业人员而设计,与安全和身份工具(包括AzureActiveDirectory、MicrosoftIntune、MicrosoftInformationProtection)原生集成,并支持各种部署模型,包括日志收集、API连接器和反向操作。
