最新的云安全工具体现了主要提供商为解决用户问题而采取的各种方法,并且保护客户不受自身的影响。
亚马逊,谷歌和微软公司都推出了强化他们对公共云安全的不同观点的功能,但他们仍然没有解决云计算工作负载面临的最大威胁。
这三家知名的云计算供应商今年在产品和服务中增加了许多功能,以帮助用户保护自己的工作负载免受威胁,方法略有不同,突出了其产品的成熟度和自己的技术和文化谱系。但是使用这些平台上工作负载的最大障碍之一仍然是客户自己。
安全仍然是企业评估转向公共云的首要任务。目前仍有无法接受云计算的情况,尤其是在数据驻留和其他政府限制最为重要的公司,但总的来说,安全不再是拒绝采用云计算的理由。事实上,大多数行业观察家认为,这些平台背后的安全做法和人员配置要优于企业内部建立的企业。
亚马逊公司走在了技术进步的最前沿,以提高安全性,其原因很简单,因为亚马逊Web服务(AWS)首先上市,缺乏许多工具来跟踪和管理在平台上分层的资源。一旦主要在初创公司发现,大型企业采用AWS的服务很常见,而AWS公司在其销售存储和计算资源的11年的时间中,对其云安全工具不断进行升级。
多年来,AWS已经添加了身份和访问管理、配置规则和其他策略控制,这些控制已成为云端的常见做法。其最新的安全升级反映了该平台的成熟性,并与其他AWS工具更紧密地集成在一起。现在,亚马逊的最新举措旨在保护客户免于自己的错误。
云安全和用户威胁
关于云安全问题的故事在新闻层出不穷,AWS公司首当其冲。在过去的一年里,像Verizon和道琼斯公司这样的客户他们把敏感数据保存在亚马逊简单存储服务(S3桶中,而这些数据桶在公共互联网上对外公开。
这些备受瞩目的案例,还有更多的案例是由于用户错误和错误配置的S3存储桶而造成的,而且云计算供应商无能为力。
调研机构451 Research公司分析师Fernando Montenegro表示:“这就像敞开了大门,让他人猜猜是什么?其结果是东西被偷走了,或者在这种情况下被抄袭了。”
Montenegro说,亚马逊公司通常采取放任自由的方式,让用户使用AWS提供的工具构建应用程序,并增加了“帮助客户避免做些愚蠢的事情”的功能。这些规则包括新的AWS 配置规则,以便用户可以标记公开的存储桶,通过电子邮件向客户发送有关潜在漏洞的警报,以及称为Macie的基于机器学习的服务,以检测客户S3存储桶中的异常情况。
微软和谷歌的不同侧重点以及不同的云安全工具
目前还不清楚AWS公司是否因为其市场影响力而比其他公共云平台更多地被错误配置。显而易见的是,谷歌公司和微软在亚马逊之后对云计算的态度更加严格,已经从亚马逊的过去的错误中学习并受益。这两家公司采取措施保护客户数据免受恶意行为人的攻击,并传达了各自的内部文化交流。
微软公司凭借其与企业市场的深厚联系,在Azure的早期阶段就提供了更多的安全功能,并使Active Directory成为该平台的核心组件。与此同时,谷歌公司在追赶同样的企业市场的同时,也开始在安全工具的价格提供更多的优惠。
云计算服务提供商Evident.io公司首席执行官兼联合创始人Tim Prendergast表示,推动新的云安全工具和不同方法表明,云计算提供商正在逐步创新,因为他们更多地了解攻击者危害工作负载的举措。
他说:“我们所看到的是三个云计算提供商对他们和他们的客户及其资产的安全性采取独特的态度。”
例如,微软公司为Azure提供了一个新的安全模型,叫做机密计算,它不仅在传输和空闲时加密数据,现在是主要云提供商之间的标准做法,但在使用中也如此。
Montenegro说:“这是一个额外的保证,用户的工作量受到微软的保护,如果这是企业的威胁模型的一部分,这是一个强大的信息。黑客越来越难以恶意访问其数据。”
谷歌公司也有类似的目标,但手段不同。继续实施DIY硬件的历史,谷歌公司今年早些时候推出了一个名为Titan的定制芯片,为在硬件级别访问云基础架构提供了一个信任的根源。
虽然这些都是积极的步骤,但是它们并没有解决云安全问题日益普遍的问题,这个问题又回到了用户的努力之上,保证密钥的安全是任何公共云平台客户的责任。
IDC公司分析师Abhi Dugar说:“这就像某人在出去的时候锁门,但是有人复制了他的钥匙,就算把房门锁上,一切还是暴露在外。”
企业应对安全以适应新的世界
当然,当涉及到用户错误时,供应商也不会受到批评。使用这些平台的基础是AWS率先推出的共享责任模式,与负责底层基础架构的供应商以及负责顶级事务的用户形成了共识。
Prendergast表示,这种模式的问题在于,企业IT必须保持其正常的安全协议,同时也要适应管理公共云上的工作负载的新方式。对于像AWS这样的平台来说,这是非常具有挑战性的,因为这个平台具有近100种不同的服务和数千页的安全文档。
他说:“工作人员整天忙碌,并要求他们学习这种新的安全和新的安全控制方式,以及他们习惯于使用的传统控制方式。他们必须比以前更快地工作,因为没有更多的人,也没有更多的时间。”
Prendergast说,人们的技能和期望之间的差距导致了很多高调的云安全问题。虽然像Macie这样的先进服务可以让企业受益,但如果IT商店无法获得正确的基础,则很难看到成功。
所有这些问题将变得更加复杂,因为管理员必须管理跨多个云的安全状况,这是市场的主要目标。例如,如果一家企业在AWS上拥有大部分云资产,那么当企业表示要使用Google云端平台与TensorFlow进行机器学习时,可能会出现问题。
“安全团队会说,'我不懂他们的安全接口,'”Dugar说。“所以企业必须去招募可以解决这个问题的员工,而且还会面临需要解决的技能差距。”