前言
亚马逊网络服务、谷歌云平台和微软Azure最近都加强了威胁情报的推送,来帮助用户辨别和应对针对公共云平台的恶意活动。这些平台提供了哪些差异化服务,又是如何保障云安全的?研究人员在Black Hat 2018大会上发表了对这三家主流云平台安全功能的研究,并就优缺点进行了讨论。
概述
专注于云基础架构的独立安全顾问Brad Geesaman在本届Black Hat 2018大会上发表了有关云安全的演讲,主题为“侦测云用户的恶意行为:了解全新的平台功能”,通过比较亚马逊、谷歌、微软这三家主流云平台在保障安全方面的差异化特性、优势和不足,为云平台用户在选择云平台时提供了有力的参考。
云服务市场的竞争日趋白热化,对于刚进入这个领域的初创公司来说,数据管控功能可能要最优先考虑的重点,然后将一些非核心功能外包出去。没错就是外包,安全这一块有时也会交到第三方手里。现在,越来越多的基础应用依托于云端,如果云端发生了什么问题,那后果将会很严重。
在维护云环境网络安全时,不能再禁锢于传统的思想和方法,当要处理的对象都变成API时,老方法都不奏效。云平台的可扩展性一方面时优势,另一方面也会将小问题变成大麻烦。黑客无需直接攻击云平台,只要通过钓鱼网站、恶意软件、后门漏洞或者密码猜解的方式窃取用户的登陆凭据,然后就可以在企业内部云平台上进行一系列恶意操作。这样的情况经常发生,不知不觉中用户掌握的密钥就可能落入别人的手中。
云服务市场还很年轻,目前没有绝对的一家独大,从提供的安全服务来看也是各有千秋。因此,在选购云服务时,用户要搞清楚以下几点:它使用哪些数据源、如何操作数据、数据的透明度几何、服务中未涵盖的内容有哪些、部署需要哪些条件、成本结构、软件集成以及定制和验证功能。
三大厂商比较
以下是Brad对亚马逊、谷歌和微软提供的云服务安全功能做的比较,摘录其中一部分:
1. Microsoft Azure
Azure安全中心是Azure仪表板版块的核心内容之一,于2015年秋季首次发布,2016年春季全面上市,并在2017年夏季增加了威胁检测功能。旨在提供安全管理和威胁检测支持,并部署针对混合云各功能模块的安全策略,微软对每个系统收取15美元/月的服务费。
Azure安全中心采用的引擎能够自动调整问题的优先级,让用户能够将注意力放在重点问题上,同时还支持自定义警告规则、文件完整性监控、REST API和第三方工具集成,可帮助用户管理端点设备。Microsoft Azure的优势在于混合云,它支持Windows/Linux代理,加上Azure Log Analytics服务,所有代理日志都是可查。
2. 亚马逊网络服务
亚马逊在2013年春季发布了CloudTrail,2015年夏季发布AWS VPC Flow日志,2017年冬季发布GuardDuty。GuardDuty服务提供威胁检测支持,以便用户可以持续监控AWS账户和工作负载。它提供30天免费试用,在北美,每GB流量的VPC/DNS服务售价为0.25至1美元,每百万Cloudtrail活动优惠价4美元。
GuardDuty监控来自CloudTrail的事件、VPC数据日志和DNS日志,支持基收录信息源以及恶意IP地址和域,用户可以设置自定义黑名单和白名单。此外,GuardDuty还支持集中管理AWS账户,无需让开发或运营团队掺合进来即可检测后门、恶意活动、挖矿、木马、嗅探、渗透等威胁。它的优势是简单的设置、清晰的检测列表和报告,众多合作伙伴形成的优良生态体系以及针对多种类型API的检测。
3. 谷歌云平台
谷歌云平台(GCP)的安全防护功能仍处于早期阶段。它可以检测僵尸网络、挖矿、异常重启和可疑网络流量,并将信息发送至用户界面。
它的优势是不会影响任何正在运行的工作流程以及为合作伙伴解决方案提供的API和界面。它还是面向框架的,可处理横跨多个服务的安全事件。
总结
这三家主流云平台要改进的地方还有很多:
- 在威胁检测方面的可见性需要重点关注;
- 从信息整合的角度来看,收集、分析、处理和转发安全事件各个流程也需要进行改进。
如果安全运维人员在处理问题时,连侦测的情况、对象的信息都不能清晰掌握,如何进行针对性的操作呢。在快速发展的云服务市场,或许谁能抓住这几个点,谁就能脱颖而出,获得青睐。