本文詳細分析了AWS、Azure和Googlecloud提供的云安全指南和資源，并確定了它們對新手和經驗豐富的架構師的價值。

　　使云安全架構的第二次迭代變得完美是小菜一碟。真正的挑戰是有一個充分的第一次迭代。如果前者一般，工程師將不得不花費數周時間重新調整配置，或者從頭開始實施。更糟糕的是，企業最初的云安全態勢可能比來自Emmental地區的瑞士奶酪有更多的漏洞。

　　云供應商提供了數以千計的文章、教程和網頁來解釋云安全的每一個細節。但對于第一個設計來說，最重要的是指導安全架構師系統地開發一個保護云資產的“大設計”。而且該方法必須對經驗豐富的架構師和第一次使用特定云的架構師都有幫助。

　　那么，AWS的良好架構框架、谷歌云安全基金會指南和各種微軟Azure框架有多大價值呢?讓我們詳細分析一下這些流行廠商的安全指南產品。

　　谷歌云安全基金會指南

　　Google的130頁GCP安全基礎指南介紹了Google的GCP安全理念、原則和一個示例GCP環境，作為貫穿文檔中心部分的示例。它詳細闡述了八個與安全相關的主題，從網絡和身份和訪問管理(IAM)到計費和應用程序安全(子章節II.5-II)。12，參見圖1)。所有這些子章節的核心是體系結構藍圖和安全體系結構模式。

　　它對誰最有利?

　　可視化了文檔樣式:一個大的架構圖、解釋文本和一個包含確切配置設置細節的表。座右銘是:“展示藍圖并解釋它。”因此，剛接觸GCP的安全架構師或第一次處理這些安全主題之一的安全架構師可以從初始的架構良好的設計模式中受益，他們可以根據具體的公司環境修改和定制該模式。

　　AWS架構良好的框架

　　亞馬遜早在2015年就推出了AWS良好架構框架。它最初由五個支柱組成，但現在有六個支柱:卓越運營、安全性、可靠性、性能效率、成本優化和可持續性。近年來，AWS用技術和特定行業的視角補充了這些支柱。

　　安全支柱的AWS框架文檔有155頁，詳細介紹了66個安全主題。它們描述了七個方面的需求:安全基礎、身份和訪問管理、檢測、基礎設施保護、數據保護、事件響應和應用程序安全。其結構可能與GCP不同。然而，主要的區別在于AWS呈現主題的方法。

　　GCP將架構藍圖放在解釋的中心，而AWS提供了一個架構良好的框架，卻沒有(幾乎)任何圖表。AWS遵循非常嚴格的結構，如圖4所示。對于所有主題都是一樣的:期望的結果和反模式(即，通常觀察到的不良設計)，然后是簡短的風險聲明，解釋沒有充分處理特定主題的后果。接下來是包含任務和步驟的實現指南。主題描述的最后提供了其他文章的鏈接，這些文章提供了更多的見解，并突出了其他密切相關的AWS框架主題。

　　它對誰最有利?

　　那么，AWS框架對誰有幫助呢?顯然，它是每個項目經理最好的朋友。它列出了安全架構師必須交付和工程師必須實現的設計。然而，架構師不應該期望任何設計或模式可以幫助他們設計解決方案，盡管框架包含指向后一種目的的潛在有用信息的鏈接。

　　Azure安全文檔

　　Azure不是只有一個，而是有幾個相互競爭和重疊的框架和方法。特別是，有架構良好的框架、架構中心和Azure安全基礎文檔。如圖5所示，后者有兩個部分側重于核心安全體系結構主題:保護云解決方案和保護Azure資源。這兩個部分都鏈接到多個網頁。在云安全最佳實踐的情況下，它們涵蓋了從網絡到PaaS安全的各種安全領域。每個頁面都介紹了子主題，通常用一句話概括了最佳實踐——“不要分配范圍太廣的允許規則”或“啟用SSO”——然后是進一步的簡短解釋。但是Azure安全基礎文檔如何幫助安全架構師構建他們的工作和設計安全架構呢?

　　它對誰最有利?

　　文檔對基本主題提供了出色的解釋，并激勵讀者點擊鏈接閱讀其他文章，幫助他們加深對安全主題的總體理解。然而，你不能通過閱讀所有相關的大英百科全書文章有效地學習土木工程。類似地，新手Azure安全架構師學習概念，但在瀏覽此文檔時不會學習方法或獲得結結性任務列表。也沒有架構圖來解釋各種Azure云組件和安全服務之間的相互作用。

　　同樣值得一提的是微軟的架構藍圖集合(Azure架構)，其中許多涉及與安全相關的主題(例如，“使用Azure網絡安全的安全MLOps解決方案”)。同樣，它們寫得很好，內容豐富。它們幫助建筑師和工程師了解特定甚至非常小眾主題的最佳實踐設計。然而，藍圖的展示并不是一個系統的介紹，它將幫助安全架構師建立一個初始的IaaS或PaaS數據中心。

　　然后是Azure架構良好的框架。它有五個支柱，一個致力于安全。安全支柱涵蓋五個方面——身份管理、保護基礎設施、應用程序安全性、數據主權和加密以及安全資源(圖6)。與AWS不同，Azure框架不提供結構化的需求列表。相反，它簡要地解釋了概念和附加資源的鏈接——對于安全工程師、項目經理或架構師來說都不是直接可操作的。

　　結語

　　Azure為所有與安全相關和非安全相關的特性提供了許多學習資源和文檔，但安全架構師的學習曲線很高。架構師必須自構建安全領域，并考慮如何在其總體設計中處理各種主題。相比之下，GCP的安全基礎指南提供了基本的現成架構藍圖，解決了關鍵安全領域的各種云安全特性和組件的相互作用。最后，還有AWS架構良好的框架:普魯士式的冷靜、缺乏幽默感、一針見血和過度結構化。它提供了一個清晰的概述和要做的事情列表。它甚至可以作為其他云的初始工作包定義的輸入進行重用。