[[410075]]

每個(gè)云平臺(tái)提供給客戶用以保護(hù)其云資產(chǎn)的安全工具和安全功能都不一樣。

公有云安全建立在共擔(dān)責(zé)任概念的基礎(chǔ)之上：大型云服務(wù)提供商交付安全的超大規(guī)模環(huán)境，但保護(hù)推上云端的一切是客戶自己的責(zé)任。對(duì)企業(yè)而言，這種安全責(zé)任分離在采用單一云供應(yīng)商時(shí)已經(jīng)夠麻煩了，但若采用多云環(huán)境，甚至還會(huì)更加復(fù)雜棘手。

CISO面臨的難題是確定云服務(wù)提供商三巨頭——亞馬遜AWS、Microsoft Azure和Google Cloud，在提供安全彈性云平臺(tái)的方式上有何差異。哪家提供商可以提供最好的原生工具來保護(hù)云資產(chǎn)?你怎么說服專家同意所有超大規(guī)模服務(wù)提供商都能很好地保護(hù)自家云平臺(tái)?畢竟，交付安全的環(huán)境可是他們業(yè)務(wù)模型的重中之重。不同于預(yù)算受限的企業(yè)，云服務(wù)提供商似乎擁有無限的資源。云服務(wù)提供商具備技術(shù)專業(yè)知識(shí)，而且，正如企業(yè)戰(zhàn)略集團(tuán)(ESG)高級(jí)分析師Doug Cahill所言，“考慮到他們?nèi)蜻\(yùn)營，擁有無數(shù)可用區(qū)域、存在點(diǎn)，觸角遍及全世界，他們每天都能看到無數(shù)惡意活動(dòng)，可以在此可見性水平上構(gòu)筑自身強(qiáng)大的防御。”

Securosis分析師兼首席執(zhí)行官Richard Mogull稱，盡管三巨頭傾向于保密內(nèi)部過程和程序，但在保障其數(shù)據(jù)中心物理安全、抵御內(nèi)部人攻擊和保護(hù)支撐應(yīng)用及開發(fā)平臺(tái)運(yùn)行的虛擬層安全方面，三巨頭的表現(xiàn)非常棒。

這三家都通過API暴露了更多的服務(wù)，并且試圖減少共擔(dān)責(zé)任模型相關(guān)的混亂或摩擦。Mogull稱：“這些平臺(tái)中每一個(gè)都提供了調(diào)用接口。企業(yè)的問題是弄清楚具體代碼行在哪里，以及跨多個(gè)云平臺(tái)廣泛部署安全。”

然而，三巨頭之間還是存在一些差異，這與其相對(duì)市場份額有關(guān)。AWS占有的市場份額最大，為31%。Azure正在努力趕上，目前以20%的市場份額位居第二。根據(jù)分析公司Canalys發(fā)布的2020年云服務(wù)營收分析報(bào)告，新參者谷歌的市場占有率為7%，以較大差距位居第三。

Amazon Web Services(AWS)

AWS是資歷最久也最成熟的云服務(wù)提供商。Mogull稱：“作為占據(jù)統(tǒng)治地位的提供商，AWS最大的優(yōu)勢(shì)是掌握著大量知識(shí)與工具，可以相對(duì)容易地獲得答案，找到幫助和支持工具。這些全都建立在該平臺(tái)的整體成熟度和規(guī)?；A(chǔ)上。”

亞馬遜共擔(dān)責(zé)任的安全模型聲明該公司負(fù)責(zé)底層云基礎(chǔ)設(shè)施的安全，而訂閱用戶負(fù)責(zé)保護(hù)云上部署的工作負(fù)載。具體講，客戶負(fù)責(zé)：

• 保護(hù)客戶數(shù)據(jù)
• 保護(hù)平臺(tái)、應(yīng)用和操作系統(tǒng)
• 實(shí)現(xiàn)身份與訪問管理(IAM)
• 配置防火墻
• 加密客戶端數(shù)據(jù)、服務(wù)器端文件系統(tǒng)和網(wǎng)絡(luò)流量

AWS為客戶提供了大量可用服務(wù)：

• API活動(dòng)監(jiān)測(cè)· 基礎(chǔ)威脅情報(bào)
• Web應(yīng)用防火墻(WAF)
• 數(shù)據(jù)防泄漏
• 漏洞評(píng)估
• 用于自動(dòng)化的安全事件觸發(fā)器

AWS在默認(rèn)安全配置方面也做得很好。

Mogull補(bǔ)充道，“AWS安全功能中最好的兩項(xiàng)是他們尤為出色的安全組(防火墻)實(shí)現(xiàn)和細(xì)粒度的IAM。”不過，AWS安全基于隔離服務(wù)，除非顯式授權(quán)，否則服務(wù)之間無法相互訪問。從安全的角度考慮，這種方式運(yùn)行良好，但代價(jià)是讓企業(yè)范圍內(nèi)的管理更難了，而且更難以大規(guī)模管理IAM。“盡管存在這些局限，AWS通常還是云平臺(tái)最佳選擇，選用AWS可以規(guī)避大多數(shù)安全問題。”

Microsoft Azure

Microsoft Azure也采用類似的共擔(dān)責(zé)任模型例如，在基礎(chǔ)設(shè)施即服務(wù)(IaaS)場景中，客戶負(fù)責(zé)數(shù)據(jù)分類與審計(jì)、客戶端與端點(diǎn)防護(hù)、身份與訪問管理、應(yīng)用級(jí)和網(wǎng)絡(luò)級(jí)控制。Mogull稱，相對(duì)于AWS，Azure只是在成熟度上稍欠缺一些，尤其是在一致性、文檔方面，而且很多服務(wù)的默認(rèn)配置確實(shí)不夠安全。

但是，Azure也具有一些優(yōu)勢(shì)。Azure Active Directory可連接企業(yè)Active Directory，從而為授權(quán)和權(quán)限管理提供真實(shí)單一來源，也就是說，所有事務(wù)都可以通過單一目錄加以管理。其間權(quán)衡在于，管理更加方便、更具一致性，但環(huán)境之間的隔離和相互保護(hù)程度比使用AWS更低了。另一項(xiàng)權(quán)衡折衷是：Azure的身份與訪問管理從一開始就是層次化的，比AWS容易管理，但AWS的粒度更細(xì)。

對(duì)于企業(yè)用戶而言，Azure還具有另外兩項(xiàng)重要功能：默認(rèn)情況下，活動(dòng)日志涵蓋整個(gè)企業(yè)各個(gè)區(qū)域的控制臺(tái)和API活動(dòng)。此外，Azure Security Center管理控制臺(tái)覆蓋整個(gè)企業(yè)，且可以配置，以便本地團(tuán)隊(duì)能夠管理自己的警報(bào)。

Google Cloud

Googl Cloud建立在谷歌令人印象深刻的長期工程與全球運(yùn)營基礎(chǔ)之上。谷歌提供的堅(jiān)實(shí)內(nèi)置安全工具包括：

• 云數(shù)據(jù)防泄漏
• 密鑰管理
• 資產(chǎn)清單
• 加密
• 防火墻
• Shielded VMs

Google Security Command Center提供集中式可見性與控制，使客戶能夠發(fā)現(xiàn)錯(cuò)誤配置與漏洞、監(jiān)測(cè)合規(guī)情況和檢測(cè)威脅。通過并購Stackdriver(如今已經(jīng)歷拓展，并更名為Google Cloud Operations)，谷歌推出了一流的監(jiān)測(cè)與日志分析產(chǎn)品。谷歌還通過其BeyondCorp Enterprise零信任平臺(tái)提供身份與訪問控制措施。

然而，谷歌7%的市場份額是個(gè)問題，因?yàn)榫哂猩詈馟oogle Cloud經(jīng)驗(yàn)的安全專家較少，社區(qū)也就不那么茁壯，可用工具數(shù)量也少。但是Google Cloud提供強(qiáng)大的集中式管理和默認(rèn)安全配置，這些都是很重要的考慮因素?？傮w上，Google Cloud不像AWS那么成熟，也不具備同樣的安全功能廣度。

內(nèi)部培訓(xùn)和技能是關(guān)鍵

超大規(guī)模服務(wù)提供商為企業(yè)提供最佳實(shí)踐、指南、原生控制、工具、流量日志可見性，甚至能向企業(yè)警示存在錯(cuò)誤配置的情況，但“訂閱用戶若想保護(hù)置于云端的所有資產(chǎn)，就必須擔(dān)負(fù)起遵從最佳實(shí)踐、響應(yīng)警報(bào)和采取恰當(dāng)控制措施的責(zé)任。”

這意味著企業(yè)要承擔(dān)持續(xù)的責(zé)任，包括謹(jǐn)慎管理訪問控制、監(jiān)測(cè)云環(huán)境安全威脅、定期執(zhí)行滲透測(cè)試，以及就深入培訓(xùn)企業(yè)員工，使其掌握云安全最佳實(shí)踐。

在每個(gè)公有云上建立起內(nèi)部專業(yè)知識(shí)非常重要。實(shí)現(xiàn)云安全時(shí)企業(yè)會(huì)犯的三個(gè)重大錯(cuò)誤是：

(1) 認(rèn)為云安全與當(dāng)前在自家數(shù)據(jù)中心或私有云上所做的安全實(shí)踐相差無幾。但實(shí)際上，每個(gè)平臺(tái)都有本質(zhì)的不同。表面上看起來事情都是做熟了的那些，但往深里看卻又不盡然。企業(yè)必須建立起對(duì)所用技術(shù)平臺(tái)的深刻理解，如此才能在云端延續(xù)成功。沒有相應(yīng)的技術(shù)和認(rèn)知，就沒有成功的機(jī)會(huì)。

(2) 在準(zhǔn)備好之前就遷移到多云環(huán)境。如果公司想要遷移到三個(gè)云上，那必須先針對(duì)全部三個(gè)云環(huán)境發(fā)展出相應(yīng)的內(nèi)部專業(yè)知識(shí)。遷移到云端的步伐最好不要太快，在跳轉(zhuǎn)到下一個(gè)云前應(yīng)先在一個(gè)云上積累夠?qū)I(yè)知識(shí)。

(3) 不關(guān)注治理。大多數(shù)與云環(huán)境相關(guān)的數(shù)據(jù)泄露都涉及憑證遺失或被盜，最終可以歸結(jié)為治理失敗問題。

Cahill agrees. 將數(shù)據(jù)中心外包給第三方存在一定程度的抽象。你實(shí)際上是通過與API交互來獲取服務(wù)。其中企業(yè)犯的幾類主要錯(cuò)誤就是錯(cuò)誤配置云服務(wù)、錯(cuò)誤配置對(duì)象存儲(chǔ)(打開S3存儲(chǔ)桶)和在公開存儲(chǔ)庫中留下憑證或API密鑰。而云控制臺(tái)往往是由弱口令而非多因素身份驗(yàn)證防護(hù)。

欲保護(hù)云端企業(yè)數(shù)據(jù)，不妨參考如下建議：

• 精通云安全共擔(dān)責(zé)任模型;理解各條原則都是什么。
• 重視強(qiáng)化云配置。
• 實(shí)現(xiàn)人員和非人員云身份最小權(quán)限訪問。
• 實(shí)現(xiàn)自動(dòng)化，使安全跟上DevOps的速度;自動(dòng)化整個(gè)應(yīng)用生命周期的安全集成。
• 確保安全實(shí)現(xiàn)可跨團(tuán)隊(duì)重復(fù)。大型企業(yè)具有多個(gè)項(xiàng)目團(tuán)隊(duì)，各自都實(shí)現(xiàn)了自己的安全控制。
• 采取自上而下方法實(shí)現(xiàn)所有項(xiàng)目團(tuán)隊(duì)間安全策略統(tǒng)一。