云计算在一开始的时候(亚马逊2006年就发布了Elastic Comute Cloud),企业普遍担心把重要的数据和流程放到这个革新性的事物上。时过境迁,到现在已经有96%的机构采用了云计算,80%的机构使用混合云。云的好处显而易见,高效、可扩展、弹性、移动性,包括灾难恢复与安全。

当企业和机构不断地把信息基础设施迁移到云端的时候,逐渐形成了三大公有云提供商:亚马逊AWS、微软Azure与谷歌云GCP。在对这些云服务提供商进行选择时,安全无疑是一个需要着重考虑的因素。

从物理的角度上讲,“云”意味着一个高度加固的保护数据中心,有着最高安全级别的物理保护:

  • 双因素认证系统

  • 车辆出入控制

  • 高分辨率摄像头

  • 激光束入侵检测系统

  • 生物虹膜扫描

  • 电子访问卡

上面的是最高级别的物理设施安全,但如果是虚拟化的云计算该如何保护呢?

近距离看云安全

尽管早期的科技企业在上云的时候有些犹豫,但现如今云计算的发展非常之快,研究机构Canalys发布的数据显示,亚马逊的AWS、微软的Azure与谷歌云为三大云提供商(CSP)。首先是AWS,占32.3%的市场份额,规模73亿美元。第二是Azure占16.5%,规模37亿美元。第三是谷歌云占9.5%,规模22亿美元。

谈到云安全,至少有三个关键层面需要重点关注:

  • 物理安全,对物理资产和地理位置的保护

  • 云基础设施安全,如安全补丁更新、威胁端口扫描等

  • 数据与访问安全,如数据加密、权限控制等。

然而,对于CSP而言,在第三个层面的控制权很少,而且应用层的安全,一般而言主要是用户自己的责任。在有的云共担责任模型中,“云的安全”由CSP负责,而“云中的安全”则是用户的责任。下面我们就来看一看三大CSP的安全能力比较:

1. 微软Azure

Azure的许多服务默认都是最小的安全配置。比如,建立起一个虚拟网络和一台虚机的时候,所有的端口和协议都是开放的。而AWS和谷歌云默认情况是关闭的。

但Azure也有一些对企业非常关键的安全优势,比如Azure活动目录,就是身份授权与访问管理的绝佳工具。反观AWS,就需要自己去配置集群、用户,以及对每个账户的访问。Azure就简单多了,单一目录就可统一所有的管理。但这也有利有弊,管理是轻松了,但所有的服务环境是相通的,给独立化的安全保护带来了麻烦。

Azure有两个中心化的功能非常吸引用户:

  • 默认为所有云租户提供控制台与API情况的活动日志,支持跨区域。

  • Azure安全中心(ASC)也覆盖了所有云租户(当然,要有正当的license),并允许子订阅级别的访问,这样本地团队能够管理本地的警告。这也是AWS建立“安全Hub”的目标。ASC的问题在于缺乏透明性和访问控制,因此要情况选择。知道ASC哪些做的好,哪些做的还可以(如只是按天进行威胁扫描),哪些做的不好(合规访问有着古怪的空白点)

Azure存在一致性、有效性和文档记录等问题,虽然它是安全的,但在上Azure的时候,一定要仔细谨慎,逐步去做,并要测试一切。

2. 谷歌云(GCP)

GCP即可以说是一朵年轻云,也可以说是一朵老云。因为早在十几年前,谷歌就率先提出云计算的技术理念,并在全球有了云的前身--虚拟化数据中心。

如同Azure的中心化,GCP的中心化做的更强,因为许多能力都是一开始就是规划好的,而AWS的许多功能是近几年才填补上的。在GCP里,你的账户项目(Project),除非是你建立的服务连接,否则彼此之间是隔离的。虽然整体来看,GCP与AWS都还算不上非常成熟,但在某些服务上,如容器管理和AI,两者都是一流的。

GCP的安全,介于AWS和AZURE两者之间。GCP只提供机构范围的日志记录,也有着更高的IAM细粒度,并可以中心化管理。但在一些策略定制化方面,尚未稳定,只能算是beta版。与AWS类似,GCP也有着默认的安全配置,但安全功能的种类上与AWS各有不同。

一些内嵌的安全工具是GCP的一大亮点。如云安全指令中心,类似于Azure的安全中心和AWS的安全Hub。还有“Stackdriver Logging”也非常不错,而且谷歌提供开源的Forseti安全管理配置。

如果说缺点的话,GCP的社区和工具并不活跃,不过这一切最需要的是时间。

3. 三朵云的声音

这三家主流CSP对自己的安全均有着很大的自信,我们不妨来看一下各家如何宣传自己的安全:

AWS

云安全是AWS的最高优先权。如果您是一位AWS的用户,您将会受益于我们的数据中心与网络架构,而这二者均满足对安全最为敏感的机构的需求。AWS的云安全,更像您自己数据中心的安全,区别是无需负担设施与硬件的维护成本。在云中,您无需管理物理服务器或是存储设备。而且,您可以使用基于软件的安全工具来监控和保护出入您云资源的信息流。

AWS支持责任共担模式,也就是说云的安全由AWS负责,而云中的安全责任则由您来承担。这也就意味着,您在云中的系统,不管是对应用、内容的保护,还是对平台、网络的保护,都是由您来自主选择并保有对安全的控制权。这一切,与您对数据中心(on-site)的保护相比,两者之间没有什么区别。数以百计的安全工具和功能供用户选择,满足对网络安全、配置管理、访问控制和数据加密的安全需求。

Azure

简而言之,云计算就是计算服务的交付,包括服务器、存储、数据库、网络、软件、分析和情报。通过互联网(或说云)提供更快的创新环境、弹性资源和规模经济。

微软在云安全方面已经投入了10亿美元的研发资金,并配备了3500名网络安全专家。安全是Azure的基石,通过多层安全机制对数据中心、基础设施进行保护,并且配有安全专家主动监控系统运行,以及保护用户的业务资产和数据。

基于微软数十年的安全经验和积累,每天分析6.5亿条威胁信息。AI驱动的安全分析技术令威胁检测与响应更加智能、快速,令用户的安全运营现代化。

谷歌云

传统的机构认为,公有云的主要作用是节省成本或增强数据中心能力。但现代化的机构则更看重安全,因为云提供商在安全人员和流程上的投入比普通机构要大的多。

作为云计算的先行者,谷歌充分的理解云模式中安全的方方面面。谷歌云从一开始就是为了交付更好的安全而设计的,优于许多本地部署的解决方案。安全是我们保护自身运营的优先选项,而且谷歌运行着基础设施与谷歌用户相同的基础设施,因此用户能够直接受益于谷歌的安全防护。这就是我们把安全和数据保护视作首要设计原则的原因。

安全驱动着谷歌的组织结构、培训内容和人员招聘流程,影响数据中心的改造和使用的相关技术。安全还是日常运营和灾难计划的核心,处理用户数据以安全为先,包括如何应对威胁。安全还是谷歌提供账户控制、合规审计与认证的基石。

在最近有关云安全的业内新闻中,面对两个主要竞争对手,谷歌云一直都在提升自己的市场份额,并采取了一些重要的举措,如在2018年年底聘用了前甲骨文的顶级高管Thomas Kurian。Thomas Kurian非常关注网络安全,他曾在2019年6月表示,谷歌负责企业安全的公司Chronicle正在融入谷歌云。“谷歌云的用户需要安全地存储数据和防范威胁,不管是在云端还是在本地,对于谷歌云来说,安全都是首要选择”,“安全在谷歌有着长期的历史路径,从芯片到数据中心,安全能力始终在不断的增长,配合谷歌云以交付深度防御的安全能力。从硬件基础设施、服务部署与用户身份,到存储、互联网通信和安全运营。”

安全基线

尽管领先的云服务提供商都在做出最大的努力,为用户提供可选择的安全方案,但所有上云的机构都应该认识到,在共担责任模型中自己应有的一份责任。包括管理访问控制,监视云环境中的安全威胁,实施常规性的渗透测试,为员工做云安全最佳实践的培训等等。

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。