前言

亞馬遜網(wǎng)絡(luò)服務(wù)、谷歌云平臺(tái)和微軟Azure最近都加強(qiáng)了威脅情報(bào)的推送，來(lái)幫助用戶辨別和應(yīng)對(duì)針對(duì)公共云平臺(tái)的惡意活動(dòng)。這些平臺(tái)提供了哪些差異化服務(wù)，又是如何保障云安全的?研究人員在Black Hat 2018大會(huì)上發(fā)表了對(duì)這三家主流云平臺(tái)安全功能的研究，并就優(yōu)缺點(diǎn)進(jìn)行了討論。

概述

專注于云基礎(chǔ)架構(gòu)的獨(dú)立安全顧問(wèn)Brad Geesaman在本屆Black Hat 2018大會(huì)上發(fā)表了有關(guān)云安全的演講，主題為“偵測(cè)云用戶的惡意行為：了解全新的平臺(tái)功能”，通過(guò)比較亞馬遜、谷歌、微軟這三家主流云平臺(tái)在保障安全方面的差異化特性、優(yōu)勢(shì)和不足，為云平臺(tái)用戶在選擇云平臺(tái)時(shí)提供了有力的參考。

云服務(wù)市場(chǎng)的競(jìng)爭(zhēng)日趨白熱化，對(duì)于剛進(jìn)入這個(gè)領(lǐng)域的初創(chuàng)公司來(lái)說(shuō)，數(shù)據(jù)管控功能可能要最優(yōu)先考慮的重點(diǎn)，然后將一些非核心功能外包出去。沒(méi)錯(cuò)就是外包，安全這一塊有時(shí)也會(huì)交到第三方手里?，F(xiàn)在，越來(lái)越多的基礎(chǔ)應(yīng)用依托于云端，如果云端發(fā)生了什么問(wèn)題，那后果將會(huì)很嚴(yán)重。

在維護(hù)云環(huán)境網(wǎng)絡(luò)安全時(shí)，不能再禁錮于傳統(tǒng)的思想和方法，當(dāng)要處理的對(duì)象都變成API時(shí)，老方法都不奏效。云平臺(tái)的可擴(kuò)展性一方面時(shí)優(yōu)勢(shì)，另一方面也會(huì)將小問(wèn)題變成大麻煩。黑客無(wú)需直接攻擊云平臺(tái)，只要通過(guò)釣魚網(wǎng)站、惡意軟件、后門漏洞或者密碼猜解的方式竊取用戶的登陸憑據(jù)，然后就可以在企業(yè)內(nèi)部云平臺(tái)上進(jìn)行一系列惡意操作。這樣的情況經(jīng)常發(fā)生，不知不覺(jué)中用戶掌握的密鑰就可能落入別人的手中。

云服務(wù)市場(chǎng)還很年輕，目前沒(méi)有絕對(duì)的一家獨(dú)大，從提供的安全服務(wù)來(lái)看也是各有千秋。因此，在選購(gòu)云服務(wù)時(shí)，用戶要搞清楚以下幾點(diǎn)：它使用哪些數(shù)據(jù)源、如何操作數(shù)據(jù)、數(shù)據(jù)的透明度幾何、服務(wù)中未涵蓋的內(nèi)容有哪些、部署需要哪些條件、成本結(jié)構(gòu)、軟件集成以及定制和驗(yàn)證功能。

三大廠商比較

以下是Brad對(duì)亞馬遜、谷歌和微軟提供的云服務(wù)安全功能做的比較，摘錄其中一部分：

1. Microsoft Azure

Azure安全中心是Azure儀表板版塊的核心內(nèi)容之一，于2015年秋季首次發(fā)布，2016年春季全面上市，并在2017年夏季增加了威脅檢測(cè)功能。旨在提供安全管理和威脅檢測(cè)支持，并部署針對(duì)混合云各功能模塊的安全策略，微軟對(duì)每個(gè)系統(tǒng)收取15美元/月的服務(wù)費(fèi)。

Azure安全中心采用的引擎能夠自動(dòng)調(diào)整問(wèn)題的優(yōu)先級(jí)，讓用戶能夠?qū)⒆⒁饬Ψ旁谥攸c(diǎn)問(wèn)題上，同時(shí)還支持自定義警告規(guī)則、文件完整性監(jiān)控、REST API和第三方工具集成，可幫助用戶管理端點(diǎn)設(shè)備。Microsoft Azure的優(yōu)勢(shì)在于混合云，它支持Windows/Linux代理，加上Azure Log Analytics服務(wù)，所有代理日志都是可查。

2. 亞馬遜網(wǎng)絡(luò)服務(wù)

亞馬遜在2013年春季發(fā)布了CloudTrail，2015年夏季發(fā)布AWS VPC Flow日志，2017年冬季發(fā)布GuardDuty。GuardDuty服務(wù)提供威脅檢測(cè)支持，以便用戶可以持續(xù)監(jiān)控AWS賬戶和工作負(fù)載。它提供30天免費(fèi)試用，在北美，每GB流量的VPC/DNS服務(wù)售價(jià)為0.25至1美元，每百萬(wàn)Cloudtrail活動(dòng)優(yōu)惠價(jià)4美元。

GuardDuty監(jiān)控來(lái)自CloudTrail的事件、VPC數(shù)據(jù)日志和DNS日志，支持基收錄信息源以及惡意IP地址和域，用戶可以設(shè)置自定義黑名單和白名單。此外，GuardDuty還支持集中管理AWS賬戶，無(wú)需讓開發(fā)或運(yùn)營(yíng)團(tuán)隊(duì)摻合進(jìn)來(lái)即可檢測(cè)后門、惡意活動(dòng)、挖礦、木馬、嗅探、滲透等威脅。它的優(yōu)勢(shì)是簡(jiǎn)單的設(shè)置、清晰的檢測(cè)列表和報(bào)告，眾多合作伙伴形成的優(yōu)良生態(tài)體系以及針對(duì)多種類型API的檢測(cè)。

3. 谷歌云平臺(tái)

谷歌云平臺(tái)(GCP)的安全防護(hù)功能仍處于早期階段。它可以檢測(cè)僵尸網(wǎng)絡(luò)、挖礦、異常重啟和可疑網(wǎng)絡(luò)流量，并將信息發(fā)送至用戶界面。

它的優(yōu)勢(shì)是不會(huì)影響任何正在運(yùn)行的工作流程以及為合作伙伴解決方案提供的API和界面。它還是面向框架的，可處理橫跨多個(gè)服務(wù)的安全事件。

總結(jié)

這三家主流云平臺(tái)要改進(jìn)的地方還有很多：

• 在威脅檢測(cè)方面的可見性需要重點(diǎn)關(guān)注;
• 從信息整合的角度來(lái)看，收集、分析、處理和轉(zhuǎn)發(fā)安全事件各個(gè)流程也需要進(jìn)行改進(jìn)。

如果安全運(yùn)維人員在處理問(wèn)題時(shí)，連偵測(cè)的情況、對(duì)象的信息都不能清晰掌握，如何進(jìn)行針對(duì)性的操作呢。在快速發(fā)展的云服務(wù)市場(chǎng)，或許誰(shuí)能抓住這幾個(gè)點(diǎn)，誰(shuí)就能脫穎而出，獲得青睞。