云安全工具反映了不同供應商的觀點
最新的云安全工具體現了主要提供商為解決用戶問題而采取的各種方法,并且保護客戶不受自身的影響。
亞馬遜,谷歌和微軟公司都推出了強化他們對公共云安全的不同觀點的功能,但他們仍然沒有解決云計算工作負載面臨的最大威脅。
這三家知名的云計算供應商今年在產品和服務中增加了許多功能,以幫助用戶保護自己的工作負載免受威脅,方法略有不同,突出了其產品的成熟度和自己的技術和文化譜系。但是使用這些平臺上工作負載的最大障礙之一仍然是客戶自己。
安全仍然是企業評估轉向公共云的首要任務。目前仍有無法接受云計算的情況,尤其是在數據駐留和其他政府限制最為重要的公司,但總的來說,安全不再是拒絕采用云計算的理由。事實上,大多數行業觀察家認為,這些平臺背后的安全做法和人員配置要優于企業內部建立的企業。
亞馬遜公司走在了技術進步的最前沿,以提高安全性,其原因很簡單,因為亞馬遜Web服務(AWS)首先上市,缺乏許多工具來跟蹤和管理在平臺上分層的資源。一旦主要在初創公司發現,大型企業采用AWS的服務很常見,而AWS公司在其銷售存儲和計算資源的11年的時間中,對其云安全工具不斷進行升級。
多年來,AWS已經添加了身份和訪問管理、配置規則和其他策略控制,這些控制已成為云端的常見做法。其最新的安全升級反映了該平臺的成熟性,并與其他AWS工具更緊密地集成在一起。現在,亞馬遜的最新舉措旨在保護客戶免于自己的錯誤。
云安全和用戶威脅
關于云安全問題的故事在新聞層出不窮,AWS公司首當其沖。在過去的一年里,像Verizon和道瓊斯公司這樣的客戶他們把敏感數據保存在亞馬遜簡單存儲服務(S3桶中,而這些數據桶在公共互聯網上對外公開。
這些備受矚目的案例,還有更多的案例是由于用戶錯誤和錯誤配置的S3存儲桶而造成的,而且云計算供應商無能為力。
調研機構451 Research公司分析師Fernando Montenegro表示:“這就像敞開了大門,讓他人猜猜是什么?其結果是東西被偷走了,或者在這種情況下被抄襲了。”
Montenegro說,亞馬遜公司通常采取放任自由的方式,讓用戶使用AWS提供的工具構建應用程序,并增加了“幫助客戶避免做些愚蠢的事情”的功能。這些規則包括新的AWS 配置規則,以便用戶可以標記公開的存儲桶,通過電子郵件向客戶發送有關潛在漏洞的警報,以及稱為Macie的基于機器學習的服務,以檢測客戶S3存儲桶中的異常情況。
微軟和谷歌的不同側重點以及不同的云安全工具
目前還不清楚AWS公司是否因為其市場影響力而比其他公共云平臺更多地被錯誤配置。顯而易見的是,谷歌公司和微軟在亞馬遜之后對云計算的態度更加嚴格,已經從亞馬遜的過去的錯誤中學習并受益。這兩家公司采取措施保護客戶數據免受惡意行為人的攻擊,并傳達了各自的內部文化交流。
微軟公司憑借其與企業市場的深厚聯系,在Azure的早期階段就提供了更多的安全功能,并使Active Directory成為該平臺的核心組件。與此同時,谷歌公司在追趕同樣的企業市場的同時,也開始在安全工具的價格提供更多的優惠。
云計算服務提供商Evident.io公司首席執行官兼聯合創始人Tim Prendergast表示,推動新的云安全工具和不同方法表明,云計算提供商正在逐步創新,因為他們更多地了解攻擊者危害工作負載的舉措。
他說:“我們所看到的是三個云計算提供商對他們和他們的客戶及其資產的安全性采取獨特的態度。”
例如,微軟公司為Azure提供了一個新的安全模型,叫做機密計算,它不僅在傳輸和空閑時加密數據,現在是主要云提供商之間的標準做法,但在使用中也如此。
Montenegro說:“這是一個額外的保證,用戶的工作量受到微軟的保護,如果這是企業的威脅模型的一部分,這是一個強大的信息。黑客越來越難以惡意訪問其數據。”
谷歌公司也有類似的目標,但手段不同。繼續實施DIY硬件的歷史,谷歌公司今年早些時候推出了一個名為Titan的定制芯片,為在硬件級別訪問云基礎架構提供了一個信任的根源。
雖然這些都是積極的步驟,但是它們并沒有解決云安全問題日益普遍的問題,這個問題又回到了用戶的努力之上,保證密鑰的安全是任何公共云平臺客戶的責任。
IDC公司分析師Abhi Dugar說:“這就像某人在出去的時候鎖門,但是有人復制了他的鑰匙,就算把房門鎖上,一切還是暴露在外。”
企業應對安全以適應新的世界
當然,當涉及到用戶錯誤時,供應商也不會受到批評。使用這些平臺的基礎是AWS率先推出的共享責任模式,與負責底層基礎架構的供應商以及負責頂級事務的用戶形成了共識。
Prendergast表示,這種模式的問題在于,企業IT必須保持其正常的安全協議,同時也要適應管理公共云上的工作負載的新方式。對于像AWS這樣的平臺來說,這是非常具有挑戰性的,因為這個平臺具有近100種不同的服務和數千頁的安全文檔。
他說:“工作人員整天忙碌,并要求他們學習這種新的安全和新的安全控制方式,以及他們習慣于使用的傳統控制方式。他們必須比以前更快地工作,因為沒有更多的人,也沒有更多的時間。”
Prendergast說,人們的技能和期望之間的差距導致了很多高調的云安全問題。雖然像Macie這樣的先進服務可以讓企業受益,但如果IT商店無法獲得正確的基礎,則很難看到成功。
所有這些問題將變得更加復雜,因為管理員必須管理跨多個云的安全狀況,這是市場的主要目標。例如,如果一家企業在AWS上擁有大部分云資產,那么當企業表示要使用Google云端平臺與TensorFlow進行機器學習時,可能會出現問題。
“安全團隊會說,'我不懂他們的安全接口,'”Dugar說。“所以企業必須去招募可以解決這個問題的員工,而且還會面臨需要解決的技能差距。”
