每个云平台都为客户提供不同的安全工具和安全功能,保护他们的云资产。公共云安全建立在责任共担的概念之上:大型云服务提供商提供安全的超大规模环境,但保护推送到云端的所有内容是客户自己的责任。对于企业来说,这种安全责任的分离在使用单一云提供商时已经够麻烦了,但在采用多云环境时可能会更加复杂。CISO面临的难题是确定三大云服务提供商——亚马逊AWS、微软Azure和谷歌云——在提供安全和弹性云平台的方式上有何不同。哪个供应商提供最好的本地工具来保护云资产?您如何让专家相信所有超大规模服务提供商都在保护其云平台方面做得很好?毕竟,提供安全的环境是他们Heavy商业模式的核心。与预算有限的企业不同,云服务提供商拥有看似无限的资源。云服务提供商拥有技术专长,正如EnterpriseStrategyGroup(ESG)的高级分析师DougCahill所说,“鉴于他们在全球范围内运营,在世界各地拥有无数可用区、存在点和触角,他们可以看到无数的恶意活动,可以在这种可见级别上建立自己强大的防御。”Securosis分析师兼首席执行官RichardMogull表示,虽然三巨头倾向于对其内部流程和程序保密,但重要的是确保物理安全他们的数据中心。三巨头在抵御内部攻击和保护支撑应用程序和开发平台的虚拟化层方面做得很好。三巨头都通过API公开更多服务,并试图减少与共同责任相关的混乱或摩擦模型。“这些平台中的每一个都提供了一个调用接口,”Mogull说。“企业的问题是弄清楚何时respecificlinesofcodeisanddeploymentsecuritybroadlyacrossmultipleclouds.”然而,三巨头之间仍然存在一些差异,这与其相对市场份额有关。AWS的市场份额最大,为31%。Azure正在努力追赶,目前以20%的市场份额位居第二。根据分析公司Canalys发布的2020年云服务收入分析报告,新进入者谷歌的市场份额为7%,以较大差距排名第三。AmazonWebServices(AWS)AWS是历史最悠久、最成熟的云服务提供商。“作为占主导地位的供应商,AWS最大的优势在于它拥有大量的知识和工具,并且相对容易获得答案、找到帮助和支持工具,”Mogull说。“这一切都基于平台的整体成熟度和规模。”亚马逊的责任共担安全模型规定,公司负责底层云基础设施的安全,而订阅者负责保护部署在云上的工作负载。具体而言,客户负责:保护客户数据保护平台、应用程序和操作系统实施身份和访问管理(IAM)配置防火墙加密客户端数据、服务器端文件系统和网络流量AWS为客户提供多种服务:API活动监控·基本威胁情报Web应用程序防火墙(WAF)数据自动安全事件触发器的泄漏预防漏洞评估AWS在默认安全配置方面也做得很好。Mogull补充说,“AWS安全功能的两个最好的地方是它们出色的安全组(防火墙)实施和细粒度的IAM。”然而,AWS安全性基于隔离服务,它可以除非明确授权,否则不得彼此分开。互相拜访。从安全的角度来看,这很有效,但代价是难以在企业范围内进行管理,并且难以大规模管理IAM。“尽管有这些限制,AWS通常是首选的云平台,而且大多数安全问题都可以通过选择AWS来规避。”MicrosoftAzureMicrosoftAzure也使用类似的责任共担模型。负责数据分类和审计、客户端和端点保护、身份和访问管理、应用程序级和网络级控制。Mogull表示,Azure只是略逊于AWS,尤其是在一致性、文档方面,很多服务的默认配置确实不够安全。但是,Azure也有一些优势。AzureActiveDirectory连接到企业ActiveDirectory,为授权和权限管理提供真正的单一来源,这意味着所有事务都可以通过单一目录进行管理。权衡是管理更容易和更一致,但环境之间的隔离和相互保护低于使用AWS。另一个权衡:Azure的身份和访问管理从一开始就是分层的,这比AWS更容易管理,但AWS更精细。对于企业用户,Azure还有另外两个重要特性:默认情况下,活动日志涵盖整个企业各个区域的控制台和API活动。此外,Azure安全中心管理控制台具有企业范围的覆盖范围,并且可以进行配置,以便本地团队可以管理他们自己的警报。GoogleCloudGooglCloud建立在Google令人印象深刻的长期工程和全球运营之上。谷歌提供可靠的内置安全工具,包括:云数据泄漏预防密钥管理资产清单加密防火墙受保护的虚拟机谷歌安全指挥中心提供集中的可见性和控制,使客户能够发现错误配置和漏洞、监控合规性并检测威胁。通过收购Stackdriver(现已扩展并更名为GoogleCloudOperations),Google推出了一流的监控和日志分析产品。谷歌还通过其BeyondCorpEnterprise零信任平台提供身份和访问控制。然而,谷歌7%的市场份额是一个问题,因为具有深厚谷歌云经验的安全专家较少,社区不够强大,可用工具也较少。但谷歌云提供强大的集中管理和安全的默认配置,这些都是重要的考虑因素。总的来说,谷歌云不如AWS成熟,也不具备同样广泛的安全功能。内部培训和技能是关键超大规模服务提供商为企业提供最佳实践、指导、本地控制、工具、流量日志可见性,甚至提醒企业注意错误配置,但“订阅者想要保护云中的所有资产,必须对以下内容负责最佳实践、响应警报和实施适当的控制措施。”这意味着企业有责任谨慎管理访问控制,监控云环境中的安全威胁,并定期对企业员工进行渗透、测试和深入培训,了解云安全最佳实践。重要的是在每个方面建立内部专业知识公有云。企业在实施云安全时犯的三大错误是:(1)认为云安全与目前在自己的数据中心或私有云中所做的安全实践没有什么不同。但实际上,每个平台都有根本的不同。在从表面上看,事情似乎做得很好,但深入来看,事实并非如此。企业必须对他们使用的技术平台有深入的了解,才能在云上取得成功。没有相应的技术和知识,就没有机会的成功。(2)在准备好之前迁移到多云环境。如果一家公司想要迁移到三个云,它必须首先为所有三个云环境开发内部专业知识。上云的步伐最好不要太快,在一个云上积累足够的专业知识再跳到下一个云上。(三)不注重治理。大多数与云环境相关的数据泄露都涉及凭证丢失或被盗,最终归结为治理失败。卡希尔同意。将数据中心外包给第三方存在一定程度的抽象。您实际上是通过与API交互来获得服务的。企业犯的一些主要错误类别是错误配置云服务、错误配置对象存储(打开S3存储桶)以及将凭证或API密钥留在公共存储库中。云控制台通常通过弱密码而不是多因素身份验证来保护。以下是保护云中企业数据的一些建议:精通云安全的责任共担模型;了解原则是什么。注意加强云配置。为人类和非人类云身份启用最低权限访问。自动化并使安全性达到DevOps的速度;自动化整个应用程序生命周期的安全集成。确保安全实施可跨团队重复。大型企业有多个项目团队,每个项目团队都实施自己的安全控制。采用自上而下的方法来协调所有项目团队的安全策略。
