CISO面臨的難題是確定云服務(wù)提供商三巨頭——亞馬遜AWS����、Microsoft Azure和Google Cloud——中哪一個(gè)能夠提供最佳安全性�����,這個(gè)問(wèn)題分為兩部分:哪一個(gè)在保護(hù)自己的基礎(chǔ)設(shè)施方面做得最好?哪一個(gè)在幫助企業(yè)保護(hù)數(shù)據(jù)和應(yīng)用程序安全方面做得最好?
公有云安全建立在“責(zé)任共擔(dān)”模型之上:大型云服務(wù)提供商交付安全的超大規(guī)模環(huán)境�,但保護(hù)移向云端的一切是客戶自己的責(zé)任。對(duì)企業(yè)而言�,這種安全責(zé)任分離在采用單一云供應(yīng)商時(shí)已經(jīng)夠麻煩了,若采用多云環(huán)境���,會(huì)更加復(fù)雜棘手�����。
正如資深安全專家Andy Ellis所說(shuō)�,“責(zé)任共擔(dān)模型看起來(lái)非常清晰和簡(jiǎn)單,但實(shí)際上經(jīng)不起檢查��。企業(yè)很難解析云平臺(tái)與在其上運(yùn)行的應(yīng)用程序之間的關(guān)聯(lián)�����,F(xiàn)實(shí)情況是�����,客戶如何配置云服務(wù)對(duì)應(yīng)用程序的安全性至關(guān)重要������?蛻艨赡苊媾R的棘手情況非常多。”
然而���,將云服務(wù)提供商的責(zé)任和客戶的角色分隔開的那堵堅(jiān)墻已經(jīng)開始坍塌。ESG高級(jí)分析師Melinda Marks表示���,為了讓自己脫穎而出�,云服務(wù)供應(yīng)商正在認(rèn)識(shí)到責(zé)任共擔(dān)模式的缺陷�����,并試圖與客戶建立更多的合作關(guān)系。
那么�����,CISO如何確定三大云服務(wù)提供商在解決這些問(wèn)題和提供安全且有彈性的云平臺(tái)的方式上有何差異?
在深入了解每個(gè)供應(yīng)商的具體細(xì)節(jié)之前���,以下是Securosis分析師兼首席執(zhí)行官Richard Mogull列出的三個(gè)基本出發(fā)點(diǎn):
1. 三巨頭傾向于保密內(nèi)部過(guò)程和程序����,它們都在保護(hù)數(shù)據(jù)中心的物理安全�����、抵御內(nèi)部人攻擊以及保護(hù)支撐應(yīng)用及開發(fā)平臺(tái)運(yùn)行的虛擬層安全方面做得十分出色����。
2. 云本質(zhì)上是一種新型的數(shù)據(jù)中心,每個(gè)云服務(wù)提供商在技術(shù)層面和實(shí)際實(shí)施細(xì)節(jié)方面都有根本的不同�。企業(yè)的最佳選擇是投資員工培訓(xùn),以便他們能夠獲取在這些云環(huán)境中操作的專業(yè)知識(shí)�����。
3. 除了每個(gè)供應(yīng)商平臺(tái)的具體細(xì)節(jié)之外,Mogull認(rèn)為市場(chǎng)份額與擁有最廣泛的第三方工具��、最深入的知識(shí)庫(kù)和最大的社區(qū)相關(guān)���。根據(jù)分析公司Canalys對(duì)2022年第一季度云服務(wù)收入的分析結(jié)果顯示���,AWS擁有33%的市場(chǎng)份額,Azure以21%位居第二���,谷歌以8%位居第三�����。
谷歌云:從“責(zé)任共擔(dān)”到“命運(yùn)共同體”
在重新定義責(zé)任共擔(dān)模式方面���,Google的口號(hào)最具轟動(dòng)效應(yīng)。Google創(chuàng)造了一個(gè)新術(shù)語(yǔ)����,稱之為“共同命運(yùn)”。
根據(jù)谷歌CISO Phil Venables的說(shuō)法����,“責(zé)任共擔(dān)模型在誰(shuí)處理威脅檢測(cè)、配置最佳實(shí)踐以及安全違規(guī)和異�;顒(dòng)警報(bào)的某些方面產(chǎn)生了‘不確定性’。共同命運(yùn)代表了在云服務(wù)提供商與其客戶之間建立更緊密合作關(guān)系的下一步演進(jìn)�����,以便每個(gè)人都能更好地應(yīng)對(duì)當(dāng)前和日益增長(zhǎng)的安全挑戰(zhàn)�����,同時(shí)仍能兌現(xiàn)數(shù)字化轉(zhuǎn)型的承諾���。”
“共同命運(yùn)”的功能包括旨在確保安全基礎(chǔ)的默認(rèn)配置�、幫助客戶更輕松地配置產(chǎn)品和服務(wù)的藍(lán)圖以及安全策略層次結(jié)構(gòu)���,以便在整個(gè)基礎(chǔ)架構(gòu)中自動(dòng)啟用策略意圖���。此外,谷歌還有一個(gè)計(jì)劃�,將云客戶與為谷歌云工作負(fù)載提供專業(yè)保險(xiǎn)的保險(xiǎn)公司聯(lián)系起來(lái),提供獨(dú)特的風(fēng)險(xiǎn)管理組件���。
在比較三巨頭時(shí)�,谷歌處于一個(gè)有趣的位置。Mogull指出�����,谷歌云建立在谷歌的長(zhǎng)期工程和全球運(yùn)營(yíng)之上��,令人印象深刻�。
然而,Mogull指出�����,谷歌僅占據(jù)8%的云計(jì)算市場(chǎng)份額是一個(gè)問(wèn)題���,這意味著具有深厚谷歌云經(jīng)驗(yàn)的安全專家較少����,社區(qū)的健壯性和工具也較少���。他說(shuō)�,總體而言�,谷歌云不如AWS成熟����,也沒有同樣廣泛的安全功能�。
谷歌正在努力解決這個(gè)問(wèn)題�,并于最近宣布了一種被稱為“隱形安全”(invisible security)的概念。這個(gè)想法是谷歌將繼續(xù)擴(kuò)展其云原生安全產(chǎn)品����,以便客戶可以減少對(duì)第三方工具的依賴。
一個(gè)例子是谷歌的Cloud IDS���,這是一種托管入侵檢測(cè)系統(tǒng)�,企業(yè)只需單擊幾下即可部署該系統(tǒng)�,以保護(hù)自己免受惡意軟件、間諜軟件�、命令和控制攻擊以及其他基于網(wǎng)絡(luò)的威脅。
Microsoft Azure重點(diǎn)解決多云安全問(wèn)題
微軟通過(guò)發(fā)布Microsoft Defender for Cloud開始努力應(yīng)對(duì)保護(hù)多云環(huán)境的挑戰(zhàn)���,它提供跨Azure�、AWS和Google Cloud的云安全狀態(tài)管理(CSPM)和云工作負(fù)載保護(hù)(CWP)���。
這些工具的目標(biāo)是找到跨云配置的薄弱環(huán)節(jié)���,幫助強(qiáng)化整體安全態(tài)勢(shì)����,并保護(hù)工作負(fù)載免受跨多云和混合環(huán)境不斷演變的威脅�����。Microsoft Defender for Cloud涵蓋虛擬機(jī)����、容器、數(shù)據(jù)庫(kù)��、存儲(chǔ)和應(yīng)用程序服務(wù)�����。
但是���,責(zé)任共擔(dān)模型仍然存在于Azure云中����。企業(yè)仍需對(duì)其數(shù)據(jù)和身份�����、本地資源、端點(diǎn)��、帳戶和訪問(wèn)管理的安全負(fù)責(zé)�����。
Mogull表示���,Azure只是比AWS在成熟度方面略遜一籌,尤其是在一致性���、文檔以及許多服務(wù)默認(rèn)使用不太安全的配置方面��。但Azure確實(shí)有一些優(yōu)勢(shì)�,Azure Active Directory可以鏈接到企業(yè)Active Directory��,為授權(quán)和權(quán)限管理提供單一事實(shí)來(lái)源���,這意味著可以從單個(gè)目錄管理所有內(nèi)容����。Mogull認(rèn)為,Azure的身份和訪問(wèn)管理層次分明�����,開箱即用�,并且比AWS更易于管理。
就市場(chǎng)勢(shì)頭而言��,Mogull表示微軟正在強(qiáng)勢(shì)崛起�,因?yàn)樗廊绾卫闷渑c企業(yè)客戶的現(xiàn)有關(guān)系。然而��,他警告稱�,企業(yè)應(yīng)該考慮到微軟并沒有像純粹的安全供應(yīng)商那樣將安全融入DNA中。
Amazon Web Services(AWS)提供廣泛的安全工具集
作為歷史最悠久�����、最具主導(dǎo)地位的云服務(wù)供應(yīng)商����,AWS在知識(shí)和工具方面具有絕對(duì)優(yōu)勢(shì)。Mogull表示���,“更容易獲得答案���、尋求幫助和找到支持的工具����。這是AWS平臺(tái)整體成熟度的基礎(chǔ)�。”
AWS擁有龐大的第三方供應(yīng)商市場(chǎng),并提供各種附加產(chǎn)品以及咨詢��、培訓(xùn)和認(rèn)證服務(wù)����。Marks指出���,AWS 對(duì)他們擁有的功能進(jìn)行了很多思考�����。例如Inspector���,這是一項(xiàng)持續(xù)掃描Amazon EC2實(shí)例和容器映像,以查找軟件漏洞和意外網(wǎng)絡(luò)暴露的服務(wù)��。
Amazon GuardDuty是一項(xiàng)威脅檢測(cè)服務(wù)���,可持續(xù)監(jiān)控AWS賬戶和工作負(fù)載的惡意活動(dòng)���,并提供詳細(xì)的安全調(diào)查結(jié)果以獲取可見性和補(bǔ)救方案��。
這些附加服務(wù)和其他服務(wù)都屬于AWS Security Hub的范疇�,后者從AWS服務(wù)和第三方合作伙伴收集安全數(shù)據(jù)�,并提供客戶安全狀態(tài)的綜合視圖。
Mogull補(bǔ)充道�,AWS的兩個(gè)最好的安全功能是對(duì)安全組(防火墻)和精細(xì)IAM的出色實(shí)施。但是��,除非明確啟用訪問(wèn)權(quán)限���,否則AWS安全性仍然主要基于將服務(wù)彼此隔離���。從安全角度來(lái)看,這很有效���,但代價(jià)是使企業(yè)規(guī)�����;墓芾碜兊酶永щy����,同時(shí)加劇大規(guī)模管理IAM的難度。
文章內(nèi)容僅供閱讀�,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待��。投資者據(jù)此操作����,風(fēng)險(xiǎn)自擔(dān)。
京公網(wǎng)安備 11010502041587號(hào)