盤點(diǎn) AWS、Gcp 及 Microsoft Azure 中的網(wǎng)絡(luò)安全服務(wù)!
本指南介紹了AWS、Microsoft Azure和谷歌Cloud提供的網(wǎng)絡(luò)、基礎(chǔ)設(shè)施、數(shù)據(jù)和應(yīng)用程序安全功能,以防止網(wǎng)絡(luò)攻擊,保護(hù)基于云的資源和工作負(fù)載。
在選擇公共云服務(wù)提供商時(shí),企業(yè)面臨的最大考慮是它們提供的網(wǎng)絡(luò)安全水平,這意味著它們?yōu)楸Wo(hù)自己的網(wǎng)絡(luò)和服務(wù),以及保護(hù)客戶數(shù)據(jù)安全、免受入侵和其他攻擊而設(shè)置的功能和能力。
三家主要的云服務(wù)提供商——amazon Web Services (AWS)、谷歌云平臺(GCP)和微軟azure——都非常重視安全性,原因顯而易見。一個(gè)廣為人知的安全漏洞最終被歸咎于他們的服務(wù),可能會(huì)嚇跑無數(shù)的潛在客戶,造成數(shù)百萬美元的損失,并可能導(dǎo)致合規(guī)處罰。
以下是三大云服務(wù)提供商在網(wǎng)絡(luò)安全的四個(gè)關(guān)鍵領(lǐng)域提供的服務(wù)。
1.網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全
AWS提供了一些安全功能和服務(wù),旨在增加隱私和控制網(wǎng)絡(luò)訪問。這些包括網(wǎng)絡(luò)防火墻,允許客戶創(chuàng)建私有網(wǎng)絡(luò)并控制對實(shí)例或應(yīng)用程序的訪問。公司可以在AWS服務(wù)的傳輸過程中控制加密。
還包括啟用私人或?qū)S眠B接的連接選項(xiàng);可作為應(yīng)用程序和內(nèi)容交付戰(zhàn)略的一部分應(yīng)用的分布式拒絕服務(wù)緩解技術(shù);以及自動(dòng)加密AWS全球和區(qū)域網(wǎng)絡(luò)上AWS安全設(shè)施之間的所有流量。
谷歌GCP專門為安全設(shè)計(jì)并實(shí)現(xiàn)了硬件,比如Titan,這是一種定制的安全芯片,GCP使用它來建立其服務(wù)器和外圍設(shè)備信任的硬件根。谷歌建立自己的網(wǎng)絡(luò)硬件來提高安全性。這一切都體現(xiàn)在它的數(shù)據(jù)中心設(shè)計(jì)中,其中包括多層物理和邏輯保護(hù)。
在網(wǎng)絡(luò)方面,GCP已經(jīng)設(shè)計(jì)并繼續(xù)發(fā)展全球網(wǎng)絡(luò)基礎(chǔ)設(shè)施,以支持其云服務(wù)抵御分布式拒絕服務(wù)(DDoS)等攻擊,并保護(hù)其服務(wù)和客戶。2017年,該基礎(chǔ)設(shè)施吸收了2.5 Tbps的DDoS攻擊,這是迄今為止報(bào)告的最高帶寬攻擊。
除了其全球網(wǎng)絡(luò)基礎(chǔ)設(shè)施的內(nèi)置功能,GCP還提供網(wǎng)絡(luò)安全功能,客戶可以選擇部署。這些服務(wù)包括云負(fù)載平衡和云防護(hù),云防護(hù)是一種網(wǎng)絡(luò)安全服務(wù),可以防御DDoS和應(yīng)用程序攻擊。
谷歌采用了一些安全措施來幫助確保傳輸中的數(shù)據(jù)的真實(shí)性、完整性和私密性。當(dāng)數(shù)據(jù)移動(dòng)到不受谷歌控制的物理邊界之外時(shí),它在一個(gè)或多個(gè)網(wǎng)絡(luò)層上對傳輸中的數(shù)據(jù)進(jìn)行加密和身份驗(yàn)證。
微軟Azure運(yùn)行在由微軟管理和運(yùn)營的數(shù)據(jù)中心中。據(jù)該公司稱,這些地理上分散的數(shù)據(jù)中心符合安全與可靠性的關(guān)鍵行業(yè)標(biāo)準(zhǔn)。數(shù)據(jù)中心由具有多年經(jīng)驗(yàn)的微軟運(yùn)營人員管理、監(jiān)視和管理。
微軟還對操作人員進(jìn)行后臺驗(yàn)證檢查,并根據(jù)后臺驗(yàn)證的級別限制對應(yīng)用程序、系統(tǒng)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的訪問。
Azure Firewall是一個(gè)托管的、基于云的網(wǎng)絡(luò)安全服務(wù),保護(hù)Azure虛擬網(wǎng)絡(luò)資源。它是一個(gè)具有內(nèi)置高可用性和無限制可伸縮性的全狀態(tài)防火墻服務(wù)。
Azure Firewall可以解密出站流量,執(zhí)行所需的安全檢查,然后在將流量轉(zhuǎn)發(fā)到目的地之前對其重新加密。管理員可以允許或拒絕用戶訪問網(wǎng)站類別,如賭博、社交媒體或其他。
2.身份和訪問控制
AWS提供跨AWS服務(wù)定義、執(zhí)行和管理用戶訪問策略的功能。其中包括AWS身份和訪問管理(IAM),它允許公司定義個(gè)人用戶帳戶與AWS資源的權(quán)限,以及AWS多因素認(rèn)證的特權(quán)帳戶,其中包括基于軟件和基于硬件的認(rèn)證選項(xiàng)。
AWS IAM可用于授予員工和應(yīng)用程序?qū)WS管理控制臺和AWS服務(wù)api的聯(lián)合訪問權(quán),使用現(xiàn)有的身份系統(tǒng),如Microsoft Active Directory或其他合作伙伴產(chǎn)品。
AWS還提供AWS目錄服務(wù)(AWS Directory Service),該服務(wù)允許組織與企業(yè)目錄進(jìn)行集成和聯(lián)合,以減少管理開銷并改善最終用戶體驗(yàn),以及AWS單點(diǎn)登錄(SSO),該服務(wù)允許組織管理用戶對AWS中所有賬戶的訪問和權(quán)限。
谷歌GCP的云身份和訪問管理提供了幾種方式來管理谷歌云中的身份和角色。首先,Cloud IAM允許管理員授權(quán)誰可以對特定資源采取行動(dòng),提供完全控制和可見性,以集中管理GCP資源。此外,對于具有復(fù)雜組織結(jié)構(gòu)、數(shù)百個(gè)工作組和許多項(xiàng)目的企業(yè),Cloud IAM提供了對整個(gè)組織的安全策略的統(tǒng)一視圖,內(nèi)置審計(jì)以簡化遵從流程。
云身份(Cloud Identity)也是可用的,這是一種身份即服務(wù)(idas),可以集中管理用戶和組。公司可以配置云身份來聯(lián)合谷歌和其他身份提供商之間的身份。GCP還提供Titan安全密鑰,提供密碼證明,用戶正在與合法服務(wù)(即他們向其注冊了安全密鑰的服務(wù))進(jìn)行交互,并且他們擁有安全密鑰。
最后,云資源管理器提供了組織、文件夾和項(xiàng)目等資源容器,允許組織對GCP資源進(jìn)行分組和分層組織。
微軟的Azure Active Directory (Azure AD)是一種企業(yè)身份識別服務(wù),提供單點(diǎn)登錄、多因素認(rèn)證和對Azure服務(wù)、企業(yè)網(wǎng)絡(luò)、預(yù)部署資源和數(shù)以千計(jì)的SaaS應(yīng)用程序的有條件訪問。
Azure AD使組織能夠通過安全的自適應(yīng)訪問來保護(hù)身份,通過統(tǒng)一的身份管理來簡化訪問和簡化控制,并確保遵循簡化的身份治理。微軟表示,它可以幫助用戶抵御99.9%的網(wǎng)絡(luò)安全攻擊。
3.數(shù)據(jù)保護(hù)和加密
AWS提供了為云中的靜止數(shù)據(jù)添加一層安全層的能力。它提供了可擴(kuò)展的加密功能,包括大多數(shù)AWS服務(wù)中的靜態(tài)數(shù)據(jù)加密功能,包括Amazon EBS、Amazon S3、Amazon RDS、Amazon Redshift、Amazon ElastiCache、AWS Lambda和Amazon SageMaker。
此外,還提供了靈活的密鑰管理選項(xiàng),包括AWS密鑰管理服務(wù),該服務(wù)讓企業(yè)選擇是讓AWS管理加密密鑰,還是完全控制自己的密鑰;使用AWS clouddhsm的專用、基于硬件的加密密鑰存儲;并使用Amazon SQS的服務(wù)器端加密(SSE)加密消息隊(duì)列來傳輸敏感數(shù)據(jù)。
谷歌提供機(jī)密計(jì)算,它稱之為“突破性”技術(shù),可以對正在使用的數(shù)據(jù)進(jìn)行加密,也就是說,在數(shù)據(jù)處理過程中。機(jī)密計(jì)算環(huán)境將數(shù)據(jù)加密保存在內(nèi)存和中央處理單元之外的其他地方。
機(jī)密計(jì)算組合中的第一個(gè)產(chǎn)品是機(jī)密虛擬機(jī)。谷歌已經(jīng)使用了各種隔離和沙箱技術(shù)作為其云基礎(chǔ)設(shè)施的一部分,以幫助其多租戶架構(gòu)安全,而Confidential VMs通過提供內(nèi)存加密將這一技術(shù)提升到下一個(gè)層次,以便用戶可以進(jìn)一步隔離云中的工作負(fù)載。
另一個(gè)產(chǎn)品,云外部密鑰管理器(Cloud EKM),允許組織使用他們在支持的外部密鑰管理合作伙伴中管理的密鑰來保護(hù)谷歌云平臺中的數(shù)據(jù)。公司可以通過控制密鑰的創(chuàng)建、位置和分發(fā)來維護(hù)第三方密鑰的密鑰來源。他們還可以完全控制誰可以訪問他們的密鑰。
Azure Key Vault有助于保護(hù)云應(yīng)用程序和服務(wù)使用的加密密鑰和秘密。Azure Key Vault旨在簡化密鑰管理流程,并使公司能夠維護(hù)對訪問和加密數(shù)據(jù)的密鑰的控制。
開發(fā)人員可以在幾分鐘內(nèi)創(chuàng)建用于開發(fā)和測試的密鑰,然后將它們遷移到生產(chǎn)密鑰。安全管理員可以根據(jù)需要授予和撤銷密鑰權(quán)限。
Microsoft Information Protection和Microsoft Information Governance幫助保護(hù)和治理Microsoft 365中的數(shù)據(jù)。
微軟信息保護(hù)擴(kuò)展了所有微軟365應(yīng)用程序和服務(wù)的數(shù)據(jù)丟失預(yù)防,以及Windows 10和Edge。Azure Purview幫助組織了解結(jié)構(gòu)化數(shù)據(jù)的位置,以便更好地保護(hù)和管理這些數(shù)據(jù)。
4.應(yīng)用安全
AWS Shield是一個(gè)托管DDoS保護(hù)服務(wù),用于保護(hù)在亞馬遜云上運(yùn)行的應(yīng)用程序。AWS Shield提供始終在線檢測和自動(dòng)內(nèi)聯(lián)緩解,旨在最大限度地減少應(yīng)用程序停機(jī)時(shí)間和延遲。AWS Shield有兩層,標(biāo)準(zhǔn)和高級。
AWS的所有客戶都有權(quán)享受AWS Shield標(biāo)準(zhǔn)的自動(dòng)保護(hù)。該公司表示,該標(biāo)準(zhǔn)可以抵御針對網(wǎng)站或應(yīng)用程序的最常見的網(wǎng)絡(luò)層和傳輸層DDoS攻擊。當(dāng)Shield標(biāo)準(zhǔn)與Amazon CloudFront和Amazon Route 53一起使用時(shí),客戶可以得到全面的保護(hù),免受所有已知的基礎(chǔ)設(shè)施攻擊。
對于針對運(yùn)行在Amazon EC2、Elastic Load Balancing、Amazon CloudFront、AWS Global Accelerator和Amazon Route 53資源上的應(yīng)用程序的更高級別的保護(hù),公司可以選擇AWS Shield Advanced。
除了Shield Standard附帶的網(wǎng)絡(luò)層和傳輸層保護(hù),Shield Advanced還提供針對大型復(fù)雜DDoS攻擊的額外檢測和緩解,對攻擊的近實(shí)時(shí)可視性,并與云提供商的web應(yīng)用防火墻AWS WAF集成。
谷歌WAAP (Cloud Web App and API Protection)為Web應(yīng)用和API提供全面的威脅保護(hù)。Cloud WAAP基于谷歌用于保護(hù)面向公眾的服務(wù)免受web應(yīng)用程序攻擊、DDoS攻擊、欺詐機(jī)器人活動(dòng)和API目標(biāo)威脅的相同技術(shù)。
Cloud WAAP代表了從豎井保護(hù)到統(tǒng)一應(yīng)用保護(hù)的轉(zhuǎn)變,旨在提供更好的威脅預(yù)防、更高的運(yùn)營效率以及統(tǒng)一的可見性和遙測技術(shù)。谷歌說,它還提供跨云和內(nèi)部環(huán)境的保護(hù)。
Cloud WAAP結(jié)合了三種產(chǎn)品,提供針對威脅和欺詐的全面保護(hù)。一個(gè)是谷歌Cloud Armor,它是GCP全球負(fù)載平衡基礎(chǔ)設(shè)施的一部分,提供web應(yīng)用防火墻和anti-DDoS能力。另一個(gè)是Apigee API Management,它提供API生命周期管理功能,重點(diǎn)關(guān)注安全性。第三種是reCaptcha Enterprise,它提供了對欺詐活動(dòng)、垃圾郵件和濫用(如憑證填充、自動(dòng)創(chuàng)建帳戶和來自自動(dòng)化機(jī)器人的攻擊)的保護(hù)。
GCP的另一款產(chǎn)品云安全掃描器(Cloud Security Scanner)可以掃描漏洞,并洞察web應(yīng)用程序的漏洞,允許公司在壞人利用漏洞之前采取行動(dòng)。
微軟Azure云應(yīng)用安全是一個(gè)云應(yīng)用安全代理,它結(jié)合了多功能可見性、對數(shù)據(jù)旅行的控制、用戶活動(dòng)監(jiān)控和復(fù)雜的分析,允許客戶識別和打擊所有微軟和第三方云服務(wù)的網(wǎng)絡(luò)威脅。
Cloud App security為信息安全專業(yè)人士設(shè)計(jì),與Azure Active Directory、Microsoft Intune、Microsoft information Protection等安全與身份工具原生集成,支持日志收集、API連接器、反向代理等多種部署方式。
*原文: https://www.infoworld.com/article/3634111/cyber-security-in-the-public-cloud.html
