[[431860]]

本指南介紹了AWS、Microsoft Azure和谷歌Cloud提供的網(wǎng)絡、基礎設施、數(shù)據(jù)和應用程序安全功能，以防止網(wǎng)絡攻擊，保護基于云的資源和工作負載。

在選擇公共云服務提供商時，企業(yè)面臨的最大考慮是它們提供的網(wǎng)絡安全水平，這意味著它們?yōu)楸Ｗo自己的網(wǎng)絡和服務，以及保護客戶數(shù)據(jù)安全、免受入侵和其他攻擊而設置的功能和能力。

三家主要的云服務提供商——amazon Web Services (AWS)、谷歌云平臺(GCP)和微軟azure——都非常重視安全性，原因顯而易見。一個廣為人知的安全漏洞最終被歸咎于他們的服務，可能會嚇跑無數(shù)的潛在客戶，造成數(shù)百萬美元的損失，并可能導致合規(guī)處罰。

以下是三大云服務提供商在網(wǎng)絡安全的四個關鍵領域提供的服務。

1.網(wǎng)絡和基礎設施安全

AWS提供了一些安全功能和服務，旨在增加隱私和控制網(wǎng)絡訪問。這些包括網(wǎng)絡防火墻，允許客戶創(chuàng)建私有網(wǎng)絡并控制對實例或應用程序的訪問。公司可以在AWS服務的傳輸過程中控制加密。

還包括啟用私人或專用連接的連接選項;可作為應用程序和內容交付戰(zhàn)略的一部分應用的分布式拒絕服務緩解技術;以及自動加密AWS全球和區(qū)域網(wǎng)絡上AWS安全設施之間的所有流量。

谷歌GCP專門為安全設計并實現(xiàn)了硬件，比如Titan，這是一種定制的安全芯片，GCP使用它來建立其服務器和外圍設備信任的硬件根。谷歌建立自己的網(wǎng)絡硬件來提高安全性。這一切都體現(xiàn)在它的數(shù)據(jù)中心設計中，其中包括多層物理和邏輯保護。

在網(wǎng)絡方面，GCP已經設計并繼續(xù)發(fā)展全球網(wǎng)絡基礎設施，以支持其云服務抵御分布式拒絕服務(DDoS)等攻擊，并保護其服務和客戶。2017年，該基礎設施吸收了2.5 Tbps的DDoS攻擊，這是迄今為止報告的最高帶寬攻擊。

除了其全球網(wǎng)絡基礎設施的內置功能，GCP還提供網(wǎng)絡安全功能，客戶可以選擇部署。這些服務包括云負載平衡和云防護，云防護是一種網(wǎng)絡安全服務，可以防御DDoS和應用程序攻擊。

谷歌采用了一些安全措施來幫助確保傳輸中的數(shù)據(jù)的真實性、完整性和私密性。當數(shù)據(jù)移動到不受谷歌控制的物理邊界之外時，它在一個或多個網(wǎng)絡層上對傳輸中的數(shù)據(jù)進行加密和身份驗證。

微軟Azure運行在由微軟管理和運營的數(shù)據(jù)中心中。據(jù)該公司稱，這些地理上分散的數(shù)據(jù)中心符合安全與可靠性的關鍵行業(yè)標準。數(shù)據(jù)中心由具有多年經驗的微軟運營人員管理、監(jiān)視和管理。

微軟還對操作人員進行后臺驗證檢查，并根據(jù)后臺驗證的級別限制對應用程序、系統(tǒng)和網(wǎng)絡基礎設施的訪問。

Azure Firewall是一個托管的、基于云的網(wǎng)絡安全服務，保護Azure虛擬網(wǎng)絡資源。它是一個具有內置高可用性和無限制可伸縮性的全狀態(tài)防火墻服務。

Azure Firewall可以解密出站流量，執(zhí)行所需的安全檢查，然后在將流量轉發(fā)到目的地之前對其重新加密。管理員可以允許或拒絕用戶訪問網(wǎng)站類別，如賭博、社交媒體或其他。

2.身份和訪問控制

AWS提供跨AWS服務定義、執(zhí)行和管理用戶訪問策略的功能。其中包括AWS身份和訪問管理(IAM)，它允許公司定義個人用戶帳戶與AWS資源的權限，以及AWS多因素認證的特權帳戶，其中包括基于軟件和基于硬件的認證選項。

AWS IAM可用于授予員工和應用程序對AWS管理控制臺和AWS服務api的聯(lián)合訪問權，使用現(xiàn)有的身份系統(tǒng)，如Microsoft Active Directory或其他合作伙伴產品。

AWS還提供AWS目錄服務(AWS Directory Service)，該服務允許組織與企業(yè)目錄進行集成和聯(lián)合，以減少管理開銷并改善最終用戶體驗，以及AWS單點登錄(SSO)，該服務允許組織管理用戶對AWS中所有賬戶的訪問和權限。

谷歌GCP的云身份和訪問管理提供了幾種方式來管理谷歌云中的身份和角色。首先，Cloud IAM允許管理員授權誰可以對特定資源采取行動，提供完全控制和可見性，以集中管理GCP資源。此外，對于具有復雜組織結構、數(shù)百個工作組和許多項目的企業(yè)，Cloud IAM提供了對整個組織的安全策略的統(tǒng)一視圖，內置審計以簡化遵從流程。

云身份(Cloud Identity)也是可用的，這是一種身份即服務(idas)，可以集中管理用戶和組。公司可以配置云身份來聯(lián)合谷歌和其他身份提供商之間的身份。GCP還提供Titan安全密鑰，提供密碼證明，用戶正在與合法服務(即他們向其注冊了安全密鑰的服務)進行交互，并且他們擁有安全密鑰。

最后，云資源管理器提供了組織、文件夾和項目等資源容器，允許組織對GCP資源進行分組和分層組織。

微軟的Azure Active Directory (Azure AD)是一種企業(yè)身份識別服務，提供單點登錄、多因素認證和對Azure服務、企業(yè)網(wǎng)絡、預部署資源和數(shù)以千計的SaaS應用程序的有條件訪問。

Azure AD使組織能夠通過安全的自適應訪問來保護身份，通過統(tǒng)一的身份管理來簡化訪問和簡化控制，并確保遵循簡化的身份治理。微軟表示，它可以幫助用戶抵御99.9%的網(wǎng)絡安全攻擊。

3.數(shù)據(jù)保護和加密

AWS提供了為云中的靜止數(shù)據(jù)添加一層安全層的能力。它提供了可擴展的加密功能，包括大多數(shù)AWS服務中的靜態(tài)數(shù)據(jù)加密功能，包括Amazon EBS、Amazon S3、Amazon RDS、Amazon Redshift、Amazon ElastiCache、AWS Lambda和Amazon SageMaker。

此外，還提供了靈活的密鑰管理選項，包括AWS密鑰管理服務，該服務讓企業(yè)選擇是讓AWS管理加密密鑰，還是完全控制自己的密鑰;使用AWS clouddhsm的專用、基于硬件的加密密鑰存儲;并使用Amazon SQS的服務器端加密(SSE)加密消息隊列來傳輸敏感數(shù)據(jù)。

谷歌提供機密計算，它稱之為“突破性”技術，可以對正在使用的數(shù)據(jù)進行加密，也就是說，在數(shù)據(jù)處理過程中。機密計算環(huán)境將數(shù)據(jù)加密保存在內存和中央處理單元之外的其他地方。

機密計算組合中的第一個產品是機密虛擬機。谷歌已經使用了各種隔離和沙箱技術作為其云基礎設施的一部分，以幫助其多租戶架構安全，而Confidential VMs通過提供內存加密將這一技術提升到下一個層次，以便用戶可以進一步隔離云中的工作負載。

另一個產品，云外部密鑰管理器(Cloud EKM)，允許組織使用他們在支持的外部密鑰管理合作伙伴中管理的密鑰來保護谷歌云平臺中的數(shù)據(jù)。公司可以通過控制密鑰的創(chuàng)建、位置和分發(fā)來維護第三方密鑰的密鑰來源。他們還可以完全控制誰可以訪問他們的密鑰。

Azure Key Vault有助于保護云應用程序和服務使用的加密密鑰和秘密。Azure Key Vault旨在簡化密鑰管理流程，并使公司能夠維護對訪問和加密數(shù)據(jù)的密鑰的控制。

開發(fā)人員可以在幾分鐘內創(chuàng)建用于開發(fā)和測試的密鑰，然后將它們遷移到生產密鑰。安全管理員可以根據(jù)需要授予和撤銷密鑰權限。

Microsoft Information Protection和Microsoft Information Governance幫助保護和治理Microsoft 365中的數(shù)據(jù)。

微軟信息保護擴展了所有微軟365應用程序和服務的數(shù)據(jù)丟失預防，以及Windows 10和Edge。Azure Purview幫助組織了解結構化數(shù)據(jù)的位置，以便更好地保護和管理這些數(shù)據(jù)。

4.應用安全

AWS Shield是一個托管DDoS保護服務，用于保護在亞馬遜云上運行的應用程序。AWS Shield提供始終在線檢測和自動內聯(lián)緩解，旨在最大限度地減少應用程序停機時間和延遲。AWS Shield有兩層，標準和高級。

AWS的所有客戶都有權享受AWS Shield標準的自動保護。該公司表示，該標準可以抵御針對網(wǎng)站或應用程序的最常見的網(wǎng)絡層和傳輸層DDoS攻擊。當Shield標準與Amazon CloudFront和Amazon Route 53一起使用時，客戶可以得到全面的保護，免受所有已知的基礎設施攻擊。

對于針對運行在Amazon EC2、Elastic Load Balancing、Amazon CloudFront、AWS Global Accelerator和Amazon Route 53資源上的應用程序的更高級別的保護，公司可以選擇AWS Shield Advanced。

除了Shield Standard附帶的網(wǎng)絡層和傳輸層保護，Shield Advanced還提供針對大型復雜DDoS攻擊的額外檢測和緩解，對攻擊的近實時可視性，并與云提供商的web應用防火墻AWS WAF集成。

谷歌WAAP (Cloud Web App and API Protection)為Web應用和API提供全面的威脅保護。Cloud WAAP基于谷歌用于保護面向公眾的服務免受web應用程序攻擊、DDoS攻擊、欺詐機器人活動和API目標威脅的相同技術。

Cloud WAAP代表了從豎井保護到統(tǒng)一應用保護的轉變，旨在提供更好的威脅預防、更高的運營效率以及統(tǒng)一的可見性和遙測技術。谷歌說，它還提供跨云和內部環(huán)境的保護。

Cloud WAAP結合了三種產品，提供針對威脅和欺詐的全面保護。一個是谷歌Cloud Armor，它是GCP全球負載平衡基礎設施的一部分，提供web應用防火墻和anti-DDoS能力。另一個是Apigee API Management，它提供API生命周期管理功能，重點關注安全性。第三種是reCaptcha Enterprise，它提供了對欺詐活動、垃圾郵件和濫用(如憑證填充、自動創(chuàng)建帳戶和來自自動化機器人的攻擊)的保護。

GCP的另一款產品云安全掃描器(Cloud Security Scanner)可以掃描漏洞，并洞察web應用程序的漏洞，允許公司在壞人利用漏洞之前采取行動。

微軟Azure云應用安全是一個云應用安全代理，它結合了多功能可見性、對數(shù)據(jù)旅行的控制、用戶活動監(jiān)控和復雜的分析，允許客戶識別和打擊所有微軟和第三方云服務的網(wǎng)絡威脅。

Cloud App security為信息安全專業(yè)人士設計，與Azure Active Directory、Microsoft Intune、Microsoft information Protection等安全與身份工具原生集成，支持日志收集、API連接器、反向代理等多種部署方式。 

*原文: https://www.infoworld.com/article/3634111/cyber-security-in-the-public-cloud.html