本文詳細(xì)分析了AWS、Azure和Googlecloud提供的云安全指南和資源，并確定了它們對新手和經(jīng)驗豐富的架構(gòu)師的價值。

　　使云安全架構(gòu)的第二次迭代變得完美是小菜一碟。真正的挑戰(zhàn)是有一個充分的第一次迭代。如果前者一般，工程師將不得不花費(fèi)數(shù)周時間重新調(diào)整配置，或者從頭開始實施。更糟糕的是，企業(yè)最初的云安全態(tài)勢可能比來自Emmental地區(qū)的瑞士奶酪有更多的漏洞。

　　云供應(yīng)商提供了數(shù)以千計的文章、教程和網(wǎng)頁來解釋云安全的每一個細(xì)節(jié)。但對于第一個設(shè)計來說，最重要的是指導(dǎo)安全架構(gòu)師系統(tǒng)地開發(fā)一個保護(hù)云資產(chǎn)的“大設(shè)計”。而且該方法必須對經(jīng)驗豐富的架構(gòu)師和第一次使用特定云的架構(gòu)師都有幫助。

　　那么，AWS的良好架構(gòu)框架、谷歌云安全基金會指南和各種微軟Azure框架有多大價值呢?讓我們詳細(xì)分析一下這些流行廠商的安全指南產(chǎn)品。

　　谷歌云安全基金會指南

　　Google的130頁GCP安全基礎(chǔ)指南介紹了Google的GCP安全理念、原則和一個示例GCP環(huán)境，作為貫穿文檔中心部分的示例。它詳細(xì)闡述了八個與安全相關(guān)的主題，從網(wǎng)絡(luò)和身份和訪問管理(IAM)到計費(fèi)和應(yīng)用程序安全(子章節(jié)II.5-II)。12，參見圖1)。所有這些子章節(jié)的核心是體系結(jié)構(gòu)藍(lán)圖和安全體系結(jié)構(gòu)模式。

　　它對誰最有利?

　　可視化了文檔樣式:一個大的架構(gòu)圖、解釋文本和一個包含確切配置設(shè)置細(xì)節(jié)的表。座右銘是:“展示藍(lán)圖并解釋它。”因此，剛接觸GCP的安全架構(gòu)師或第一次處理這些安全主題之一的安全架構(gòu)師可以從初始的架構(gòu)良好的設(shè)計模式中受益，他們可以根據(jù)具體的公司環(huán)境修改和定制該模式。

　　AWS架構(gòu)良好的框架

　　亞馬遜早在2015年就推出了AWS良好架構(gòu)框架。它最初由五個支柱組成，但現(xiàn)在有六個支柱:卓越運(yùn)營、安全性、可靠性、性能效率、成本優(yōu)化和可持續(xù)性。近年來，AWS用技術(shù)和特定行業(yè)的視角補(bǔ)充了這些支柱。

　　安全支柱的AWS框架文檔有155頁，詳細(xì)介紹了66個安全主題。它們描述了七個方面的需求:安全基礎(chǔ)、身份和訪問管理、檢測、基礎(chǔ)設(shè)施保護(hù)、數(shù)據(jù)保護(hù)、事件響應(yīng)和應(yīng)用程序安全。其結(jié)構(gòu)可能與GCP不同。然而，主要的區(qū)別在于AWS呈現(xiàn)主題的方法。

　　GCP將架構(gòu)藍(lán)圖放在解釋的中心，而AWS提供了一個架構(gòu)良好的框架，卻沒有(幾乎)任何圖表。AWS遵循非常嚴(yán)格的結(jié)構(gòu)，如圖4所示。對于所有主題都是一樣的:期望的結(jié)果和反模式(即，通常觀察到的不良設(shè)計)，然后是簡短的風(fēng)險聲明，解釋沒有充分處理特定主題的后果。接下來是包含任務(wù)和步驟的實現(xiàn)指南。主題描述的最后提供了其他文章的鏈接，這些文章提供了更多的見解，并突出了其他密切相關(guān)的AWS框架主題。

　　它對誰最有利?

　　那么，AWS框架對誰有幫助呢?顯然，它是每個項目經(jīng)理最好的朋友。它列出了安全架構(gòu)師必須交付和工程師必須實現(xiàn)的設(shè)計。然而，架構(gòu)師不應(yīng)該期望任何設(shè)計或模式可以幫助他們設(shè)計解決方案，盡管框架包含指向后一種目的的潛在有用信息的鏈接。

　　Azure安全文檔

　　Azure不是只有一個，而是有幾個相互競爭和重疊的框架和方法。特別是，有架構(gòu)良好的框架、架構(gòu)中心和Azure安全基礎(chǔ)文檔。如圖5所示，后者有兩個部分側(cè)重于核心安全體系結(jié)構(gòu)主題:保護(hù)云解決方案和保護(hù)Azure資源。這兩個部分都鏈接到多個網(wǎng)頁。在云安全最佳實踐的情況下，它們涵蓋了從網(wǎng)絡(luò)到PaaS安全的各種安全領(lǐng)域。每個頁面都介紹了子主題，通常用一句話概括了最佳實踐——“不要分配范圍太廣的允許規(guī)則”或“啟用SSO”——然后是進(jìn)一步的簡短解釋。但是Azure安全基礎(chǔ)文檔如何幫助安全架構(gòu)師構(gòu)建他們的工作和設(shè)計安全架構(gòu)呢?

　　它對誰最有利?

　　文檔對基本主題提供了出色的解釋，并激勵讀者點擊鏈接閱讀其他文章，幫助他們加深對安全主題的總體理解。然而，你不能通過閱讀所有相關(guān)的大英百科全書文章有效地學(xué)習(xí)土木工程。類似地，新手Azure安全架構(gòu)師學(xué)習(xí)概念，但在瀏覽此文檔時不會學(xué)習(xí)方法或獲得結(jié)結(jié)性任務(wù)列表。也沒有架構(gòu)圖來解釋各種Azure云組件和安全服務(wù)之間的相互作用。

　　同樣值得一提的是微軟的架構(gòu)藍(lán)圖集合(Azure架構(gòu))，其中許多涉及與安全相關(guān)的主題(例如，“使用Azure網(wǎng)絡(luò)安全的安全MLOps解決方案”)。同樣，它們寫得很好，內(nèi)容豐富。它們幫助建筑師和工程師了解特定甚至非常小眾主題的最佳實踐設(shè)計。然而，藍(lán)圖的展示并不是一個系統(tǒng)的介紹，它將幫助安全架構(gòu)師建立一個初始的IaaS或PaaS數(shù)據(jù)中心。

　　然后是Azure架構(gòu)良好的框架。它有五個支柱，一個致力于安全。安全支柱涵蓋五個方面——身份管理、保護(hù)基礎(chǔ)設(shè)施、應(yīng)用程序安全性、數(shù)據(jù)主權(quán)和加密以及安全資源(圖6)。與AWS不同，Azure框架不提供結(jié)構(gòu)化的需求列表。相反，它簡要地解釋了概念和附加資源的鏈接——對于安全工程師、項目經(jīng)理或架構(gòu)師來說都不是直接可操作的。

　　結(jié)語

　　Azure為所有與安全相關(guān)和非安全相關(guān)的特性提供了許多學(xué)習(xí)資源和文檔，但安全架構(gòu)師的學(xué)習(xí)曲線很高。架構(gòu)師必須自構(gòu)建安全領(lǐng)域，并考慮如何在其總體設(shè)計中處理各種主題。相比之下，GCP的安全基礎(chǔ)指南提供了基本的現(xiàn)成架構(gòu)藍(lán)圖，解決了關(guān)鍵安全領(lǐng)域的各種云安全特性和組件的相互作用。最后，還有AWS架構(gòu)良好的框架:普魯士式的冷靜、缺乏幽默感、一針見血和過度結(jié)構(gòu)化。它提供了一個清晰的概述和要做的事情列表。它甚至可以作為其他云的初始工作包定義的輸入進(jìn)行重用。