CISO面臨的難題是確定云服務(wù)提供商三巨頭——亞馬遜AWS����、Microsoft Azure和Google Cloud,在提供安全彈性云平臺的方式上有何差異�����。
每個云平臺提供給客戶用以保護(hù)其云資產(chǎn)的安全工具和安全功能都不一樣�����。
公有云安全建立在共擔(dān)責(zé)任概念的基礎(chǔ)之上:大型云服務(wù)提供商交付安全的超大規(guī)模環(huán)境�����,但保護(hù)推上云端的一切是客戶自己的責(zé)任�。對企業(yè)而言����,這種安全責(zé)任分離在采用單一云供應(yīng)商時已經(jīng)夠麻煩了����,但若采用多云環(huán)境,甚至還會更加復(fù)雜棘手��。
CISO面臨的難題是確定云服務(wù)提供商三巨頭——亞馬遜AWS��、Microsoft Azure和Google Cloud��,在提供安全彈性云平臺的方式上有何差異�����。哪家提供商可以提供最好的原生工具來保護(hù)云資產(chǎn)?你怎么說服專家同意所有超大規(guī)模服務(wù)提供商都能很好地保護(hù)自家云平臺?畢竟�����,交付安全的環(huán)境可是他們業(yè)務(wù)模型的重中之重��。不同于預(yù)算受限的企業(yè)��,云服務(wù)提供商似乎擁有無限的資源�����。云服務(wù)提供商具備技術(shù)專業(yè)知識���,而且�,正如企業(yè)戰(zhàn)略集團(tuán)(ESG)高級分析師Doug Cahill所言���,“考慮到他們?nèi)蜻\(yùn)營�����,擁有無數(shù)可用區(qū)域�����、存在點(diǎn)�����,觸角遍及全世界����,他們每天都能看到無數(shù)惡意活動�,可以在此可見性水平上構(gòu)筑自身強(qiáng)大的防御�����?����!?/p>
Securosis分析師兼首席執(zhí)行官Richard Mogull稱��,盡管三巨頭傾向于保密內(nèi)部過程和程序��,但在保障其數(shù)據(jù)中心物理安全�、抵御內(nèi)部人攻擊和保護(hù)支撐應(yīng)用及開發(fā)平臺運(yùn)行的虛擬層安全方面����,三巨頭的表現(xiàn)非常棒。
這三家都通過API暴露了更多的服務(wù)����,并且試圖減少共擔(dān)責(zé)任模型相關(guān)的混亂或摩擦��。Mogull稱:“這些平臺中每一個都提供了調(diào)用接口��。企業(yè)的問題是弄清楚具體代碼行在哪里�����,以及跨多個云平臺廣泛部署安全?�!?/p>
然而����,三巨頭之間還是存在一些差異,這與其相對市場份額有關(guān)�����。AWS占有的市場份額最大�,為31%。Azure正在努力趕上���,目前以20%的市場份額位居第二�����。根據(jù)分析公司Canalys發(fā)布的2020年云服務(wù)營收分析報(bào)告��,新參者谷歌的市場占有率為7%�����,以較大差距位居第三�。
Amazon Web Services(AWS)
AWS是資歷最久也最成熟的云服務(wù)提供商。Mogull稱:“作為占據(jù)統(tǒng)治地位的提供商��,AWS最大的優(yōu)勢是掌握著大量知識與工具���,可以相對容易地獲得答案�,找到幫助和支持工具��。這些全都建立在該平臺的整體成熟度和規(guī)?;A(chǔ)上?!?/p>
亞馬遜共擔(dān)責(zé)任的安全模型聲明該公司負(fù)責(zé)底層云基礎(chǔ)設(shè)施的安全,而訂閱用戶負(fù)責(zé)保護(hù)云上部署的工作負(fù)載�。具體講,客戶負(fù)責(zé):
保護(hù)客戶數(shù)據(jù)
保護(hù)平臺���、應(yīng)用和操作系統(tǒng)
實(shí)現(xiàn)身份與訪問管理(IAM)
配置防火墻
加密客戶端數(shù)據(jù)���、服務(wù)器端文件系統(tǒng)和網(wǎng)絡(luò)流量
AWS為客戶提供了大量可用服務(wù):
AWS在默認(rèn)安全配置方面也做得很好。
Mogull補(bǔ)充道����,“AWS安全功能中最好的兩項(xiàng)是他們尤為出色的安全組(防火墻)實(shí)現(xiàn)和細(xì)粒度的IAM?���!辈贿^,AWS安全基于隔離服務(wù)����,除非顯式授權(quán),否則服務(wù)之間無法相互訪問�。從安全的角度考慮,這種方式運(yùn)行良好��,但代價是讓企業(yè)范圍內(nèi)的管理更難了�,而且更難以大規(guī)模管理IAM?�!氨M管存在這些局限�����,AWS通常還是云平臺最佳選擇����,選用AWS可以規(guī)避大多數(shù)安全問題。”
Microsoft Azure
Microsoft Azure也采用類似的共擔(dān)責(zé)任模型例如�,在基礎(chǔ)設(shè)施即服務(wù)(IaaS)場景中,客戶負(fù)責(zé)數(shù)據(jù)分類與審計(jì)��、客戶端與端點(diǎn)防護(hù)��、身份與訪問管理���、應(yīng)用級和網(wǎng)絡(luò)級控制����。Mogull稱����,相對于AWS,Azure只是在成熟度上稍欠缺一些�,尤其是在一致性、文檔方面���,而且很多服務(wù)的默認(rèn)配置確實(shí)不夠安全�。
但是�,Azure也具有一些優(yōu)勢。Azure Active Directory可連接企業(yè)Active Directory���,從而為授權(quán)和權(quán)限管理提供真實(shí)單一來源����,也就是說�����,所有事務(wù)都可以通過單一目錄加以管理�。其間權(quán)衡在于,管理更加方便����、更具一致性,但環(huán)境之間的隔離和相互保護(hù)程度比使用AWS更低了��。另一項(xiàng)權(quán)衡折衷是:Azure的身份與訪問管理從一開始就是層次化的�,比AWS容易管理,但AWS的粒度更細(xì)���。
對于企業(yè)用戶而言���,Azure還具有另外兩項(xiàng)重要功能:默認(rèn)情況下,活動日志涵蓋整個企業(yè)各個區(qū)域的控制臺和API活動��。此外,Azure Security Center管理控制臺覆蓋整個企業(yè)��,且可以配置���,以便本地團(tuán)隊(duì)能夠管理自己的警報(bào)����。
Google Cloud
Googl Cloud建立在谷歌令人印象深刻的長期工程與全球運(yùn)營基礎(chǔ)之上�。谷歌提供的堅(jiān)實(shí)內(nèi)置安全工具包括:
云數(shù)據(jù)防泄漏
密鑰管理
資產(chǎn)清單
加密
防火墻
Shielded VMs
Google Security Command Center提供集中式可見性與控制,使客戶能夠發(fā)現(xiàn)錯誤配置與漏洞��、監(jiān)測合規(guī)情況和檢測威脅����。通過并購Stackdriver(如今已經(jīng)歷拓展,并更名為Google Cloud Operations)�,谷歌推出了一流的監(jiān)測與日志分析產(chǎn)品。谷歌還通過其BeyondCorp Enterprise零信任平臺提供身份與訪問控制措施����。
然而,谷歌7%的市場份額是個問題����,因?yàn)榫哂猩詈馟oogle Cloud經(jīng)驗(yàn)的安全專家較少���,社區(qū)也就不那么茁壯,可用工具數(shù)量也少�����。但是Google Cloud提供強(qiáng)大的集中式管理和默認(rèn)安全配置�,這些都是很重要的考慮因素��?��?傮w上����,Google Cloud不像AWS那么成熟���,也不具備同樣的安全功能廣度�。
內(nèi)部培訓(xùn)和技能是關(guān)鍵
超大規(guī)模服務(wù)提供商為企業(yè)提供最佳實(shí)踐��、指南�����、原生控制、工具�、流量日志可見性,甚至能向企業(yè)警示存在錯誤配置的情況�,但“訂閱用戶若想保護(hù)置于云端的所有資產(chǎn),就必須擔(dān)負(fù)起遵從最佳實(shí)踐�����、響應(yīng)警報(bào)和采取恰當(dāng)控制措施的責(zé)任�����?����!?/p>
這意味著企業(yè)要承擔(dān)持續(xù)的責(zé)任��,包括謹(jǐn)慎管理訪問控制�����、監(jiān)測云環(huán)境安全威脅����、定期執(zhí)行滲透測試��,以及就深入培訓(xùn)企業(yè)員工����,使其掌握云安全最佳實(shí)踐��。
在每個公有云上建立起內(nèi)部專業(yè)知識非常重要���。實(shí)現(xiàn)云安全時企業(yè)會犯的三個重大錯誤是:
(1) 認(rèn)為云安全與當(dāng)前在自家數(shù)據(jù)中心或私有云上所做的安全實(shí)踐相差無幾�����。但實(shí)際上,每個平臺都有本質(zhì)的不同��。表面上看起來事情都是做熟了的那些��,但往深里看卻又不盡然�����。企業(yè)必須建立起對所用技術(shù)平臺的深刻理解����,如此才能在云端延續(xù)成功����。沒有相應(yīng)的技術(shù)和認(rèn)知��,就沒有成功的機(jī)會�。
(2) 在準(zhǔn)備好之前就遷移到多云環(huán)境。如果公司想要遷移到三個云上�����,那必須先針對全部三個云環(huán)境發(fā)展出相應(yīng)的內(nèi)部專業(yè)知識��。遷移到云端的步伐最好不要太快����,在跳轉(zhuǎn)到下一個云前應(yīng)先在一個云上積累夠?qū)I(yè)知識。
(3) 不關(guān)注治理��。大多數(shù)與云環(huán)境相關(guān)的數(shù)據(jù)泄露都涉及憑證遺失或被盜����,最終可以歸結(jié)為治理失敗問題。
Cahill agrees. 將數(shù)據(jù)中心外包給第三方存在一定程度的抽象�����。你實(shí)際上是通過與API交互來獲取服務(wù)。其中企業(yè)犯的幾類主要錯誤就是錯誤配置云服務(wù)����、錯誤配置對象存儲(打開S3存儲桶)和在公開存儲庫中留下憑證或API密鑰。而云控制臺往往是由弱口令而非多因素身份驗(yàn)證防護(hù)����。
欲保護(hù)云端企業(yè)數(shù)據(jù),不妨參考如下建議:
精通云安全共擔(dān)責(zé)任模型;理解各條原則都是什么����。
重視強(qiáng)化云配置。
實(shí)現(xiàn)人員和非人員云身份最小權(quán)限訪問�����。
實(shí)現(xiàn)自動化�����,使安全跟上DevOps的速度;自動化整個應(yīng)用生命周期的安全集成�����。
確保安全實(shí)現(xiàn)可跨團(tuán)隊(duì)重復(fù)��。大型企業(yè)具有多個項(xiàng)目團(tuán)隊(duì)�,各自都實(shí)現(xiàn)了自己的安全控制。
采取自上而下方法實(shí)現(xiàn)所有項(xiàng)目團(tuán)隊(duì)間安全策略統(tǒng)一���。
立即登錄����,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于51CTO���,本站不擁有所有權(quán)��,不承擔(dān)相關(guān)法律責(zé)任�����。文章內(nèi)容系作者個人觀點(diǎn)����,不代表快出海對觀點(diǎn)贊同或支持��。如有侵權(quán)�,請聯(lián)系管理員(zzx@kchuhai.com)刪除�����!
閩公網(wǎng)安備 35010202001226號
