每个云平台提供给客户用以保护其云资产安全工具和安全功能都不一样。
公有云安全建立在共担责任概念基础之上:大型云服务提供商交付安全超大规模环境,但保护推上云端一切是客户自己责任。对企业而言,这种安全责任分离在采用单一云供应商时已经够麻烦了,但若采用多云环境,甚至还会更加复杂棘手。
CISO面临难题是确定云服务提供商三巨头——亚马逊AWS、Microsoft Azure和Google Cloud,在提供安全弹性云平台方式上有何差异。哪家提供商可以提供最好原生工具来保护云资产?你怎么说服专家同意所有超大规模服务提供商都能很好地保护自家云平台?毕竟,交付安全环境可是他们业务模型重中之重。不同于预算受限企业,云服务提供商似乎拥有无限资源。云服务提供商具备技术专业知识,而且,正如企业战略集团(ESG)高级分析师Doug Cahill所言,“考虑到他们全球运营,拥有无数可用区域、存在点,触角遍及全世界,他们每天都能看到无数恶意活动,可以在此可见性水平上构筑自身强大防御。”
Securosis分析师兼首席执行官Richard Mogull称,尽管三巨头倾向于保密内部过程和程序,但在保障其数据中心物理安全、抵御内部人攻击和保护支撑应用及开发平台运行虚拟层安全方面,三巨头表现非常棒。
这三家都通过API暴露了更多服务,并且试图减少共担责任模型相关混乱或摩擦。Mogull称:“这些平台中每一个都提供了调用接口。企业问题是弄清楚具体代码行在哪里,以及跨多个云平台广泛部署安全。”
然而,三巨头之间还是存在一些差异,这与其相对市场份额有关。AWS占有市场份额最大,为31%。Azure正在努力赶上,目前以20%市场份额位居第二。根据分析公司Canalys发布2020年云服务营收分析报告,新参者谷歌市场占有率为7%,以较大差距位居第三。
Amazon Web Services(AWS)
AWS是资历最久也最成熟云服务提供商。Mogull称:“作为占据统治地位提供商,AWS最大优势是掌握着大量知识与工具,可以相对容易地获得答案,找到帮助和支持工具。这些全都建立在该平台整体成熟度和规模基础上。”
亚马逊共担责任安全模型声明该公司负责底层云基础设施安全,而订阅用户负责保护云上部署工作负载。具体讲,客户负责:
· 保护客户数据
· 保护平台、应用和操作系统
· 实现身份与访问管理(IAM)
· 配置防火墙
· 加密客户端数据、服务器端文件系统和网络流量
AWS为客户提供了大量可用服务:
· API活动监测· 基础威胁情报· Web应用防火墙(WAF)· 数据防泄漏· 漏洞评估· 用于自动化安全事件触发器AWS在默认安全配置方面也做得很好。
Mogull补充道,“AWS安全功能中最好两项是他们尤为出色安全组(防火墙)实现和细粒度IAM。”不过,AWS安全基于隔离服务,除非显式授权,否则服务之间无法相互访问。从安全角度考虑,这种方式运行良好,但代价是让企业范围内管理更难了,而且更难以大规模管理IAM。“尽管存在这些局限,AWS通常还是云平台最佳选择,选用AWS可以规避大多数安全问题。”
Microsoft Azure
Microsoft Azure也采用类似共担责任模型例如,在基础设施即服务(IaaS)场景中,客户负责数据分类与审计、客户端与端点防护、身份与访问管理、应用级和网络级控制。Mogull称,相对于AWS,Azure只是在成熟度上稍欠缺一些,尤其是在一致性、文档方面,而且很多服务默认配置确实不够安全。
但是,Azure也具有一些优势。Azure Active Directory可连接企业Active Directory,从而为授权和权限管理提供真实单一来源,也就是说,所有事务都可以通过单一目录加以管理。其间权衡在于,管理更加方便、更具一致性,但环境之间隔离和相互保护程度比使用AWS更低了。另一项权衡折衷是:Azure身份与访问管理从一开始就是层次化,比AWS容易管理,但AWS粒度更细。
对于企业用户而言,Azure还具有另外两项重要功能:默认情况下,活动日志涵盖整个企业各个区域控制台和API活动。此外,Azure Security Center管理控制台覆盖整个企业,且可以配置,以便本地团队能够管理自己警报。
Google Cloud
Googl Cloud建立在谷歌令人印象深刻长期工程与全球运营基础之上。谷歌提供坚实内置安全工具包括:
· 云数据防泄漏· 密钥管理· 资产清单· 加密· 防火墙· Shielded VMsGoogle Security Command Center提供集中式可见性与控制,使客户能够发现错误配置与漏洞、监测合规情况和检测威胁。通过并购Stackdriver(如今已经历拓展,并更名为Google Cloud Operations),谷歌推出了一流监测与日志分析产品。谷歌还通过其BeyondCorp Enterprise零信任平台提供身份与访问控制措施。
然而,谷歌7%市场份额是个问题,因为具有深厚Google Cloud经验安全专家较少,社区也就不那么茁壮,可用工具数量也少。但是Google Cloud提供强大集中式管理和默认安全配置,这些都是很重要考虑因素。总体上,Google Cloud不像AWS那么成熟,也不具备同样安全功能广度。
内部培训和技能是关键
超大规模服务提供商为企业提供最佳实践、指南、原生控制、工具、流量日志可见性,甚至能向企业警示存在错误配置情况,但“订阅用户若想保护置于云端所有资产,就必须担负起遵从最佳实践、响应警报和采取恰当控制措施责任。”
这意味着企业要承担持续责任,包括谨慎管理访问控制、监测云环境安全威胁、定期执行渗透测试,以及就深入培训企业员工,使其掌握云安全最佳实践。
在每个公有云上建立起内部专业知识非常重要。实现云安全时企业会犯三个重大错误是:
1. 认为云安全与当前在自家数据中心或私有云上所做安全实践相差无几。但实际上,每个平台都有本质不同。表面上看起来事情都是做熟了那些,但往深里看却又不尽然。企业必须建立起对所用技术平台深刻理解,如此才能在云端延续成功。没有相应技术和认知,就没有成功机会。2. 在准备好之前就迁移到多云环境。如果公司想要迁移到三个云上,那必须先针对全部三个云环境发展出相应内部专业知识。迁移到云端步伐最好不要太快,在跳转到下一个云前应先在一个云上积累够专业知识。3. 不关注治理。大多数与云环境相关数据泄露都涉及凭证遗失或被盗,最终可以归结为治理失败问题。Cahill agrees. 将数据中心外包给第三方存在一定程度抽象。你实际上是通过与API交互来获取服务。其中企业犯几类主要错误就是错误配置云服务、错误配置对象存储(打开S3存储桶)和在公开存储库中留下凭证或API密钥。而云控制台往往是由弱口令而非多因素身份验证防护。
欲保护云端企业数据,不妨参考如下建议:
1. 精通云安全共担责任模型;理解各条原则都是什么。2. 重视强化云配置。3. 实现人员和非人员云身份最小权限访问。4. 实现自动化,使安全跟上DevOps速度;自动化整个应用生命周期安全集成。5. 确保安全实现可跨团队重复。大型企业具有多个项目团队,各自都实现了自己安全控制。6. 采取自上而下方法实现所有项目团队间安全策略统一。