AWS、Microsoft Azure和Google Cloud提供的网络、基础设施、数据和应用程序安全功能的简要指南,可以帮助企业防止网络攻击,并保护企业的基于云计算的资源和工作负载。
企业在选择公有云服务提供商时的最主要考虑因素是他们提供的网络安全级别,这意味着他们为保护自己的网络和服务以及保护客户数据免受破坏和其他攻击而实施的特性和能力。
全球三个主要的云计算提供商AWS、Microsoft Azure和Google Cloud都非常重视安全性,其原因显而易见。如果他们提供的云服务出现广为人知的安全漏洞,那么这样的事件可能会吓跑潜在客户,造成数百万美元的损失,并可能导致合规性处罚。
以下是全球三大云计算提供商在网络安全的四个关键领域提供的服务。
1. 网络和基础设施安全
(1) AWS
AWS云平台提供了多种安全功能和服务,旨在增强隐私和控制网络访问。其中包括允许客户创建私有网络,并控制对实例或应用程序的访问的网络防火墙。企业可以在AWS服务的传输过程中控制加密。
还包括启用专用或专用连接的连接选项;分布式拒绝服务缓解技术,可以作为应用程序和内容交付策略的一部分;自动加密AWS公司在全球和区域网络上安全设施之间的所有流量。
(2) Google Cloud
谷歌公司专门为安全设计并采用了安全硬件,例如定制的安全芯片Titan。谷歌云平台(Google Cloud)使用它在其服务器和外围设备中提供安全基础。谷歌公司构建自己的网络硬件以提高安全性。这一切都集中在其数据中心设计中,其中包括多层物理和逻辑保护。
在网络方面,谷歌云平台设计并持续发展全球网络基础设施,以支持其云服务抵御分布式拒绝服务(DDoS)等攻击并保护其服务和客户。2017年,谷歌云平台的基础设施遭到了2.5Tbps的DDoS攻击,这是迄今为止报告的一次最高带宽攻击。
除了其全球网络基础设施的内置功能外,谷歌云平台还提供客户可以选择部署的网络安全功能。其中包括云负载平衡和Cloud Armor,这是一种网络安全服务,可以抵御DDoS和应用程序攻击。
谷歌公司采取了多项安全措施来帮助确保传输中数据的真实性、完整性和隐私性。当数据移动到不受该公司控制的物理边界之外时,它会在一个或多个网络层对传输中的数据进行加密和认证。
(3) Microsoft Azure
Microsoft Azure在由微软公司管理和运营的数据中心中运行。微软公司表示,这些地理位置分散的数据中心符合安全性和可靠性的关键行业标准。数据中心由具有多年经验的微软公司运营人员管理、监控和管理。
微软公司还对运营人员进行背景验证检查,并根据背景验证的级别限制对应用程序、系统和网络基础设施的访问。
Azure防火墙是一种托管的、基于云计算的网络安全服务,用于保护Azure虚拟网络资源。它是一个完全有状态的防火墙即服务,具有内置的高可用性和不受限制的可扩展性。Azure防火墙可以解密出站流量,执行所需的安全检查,然后在将流量转发到目的地之前重新加密流量。管理员可以允许或拒绝用户访问网站类别,例如赌博网站和社交媒体等。
2. 身份和访问控制
(1) AWS
AWS公司提供跨AWS服务定义、实施和管理用户访问策略的功能。其中包括AWS身份和访问管理(IAM),它允许企业定义具有跨AWS资源权限的单个用户账户,以及AWS特权帐户的多因素身份验证,其中包括基于软件和基于硬件的身份验证器的选项。AWS IAM可用于授予员工和应用程序对AWS管理控制台和AWS服务API的联合访问权限,使用现有的身份系统,例如Microsoft Active Directory或其他合作伙伴产品。
(2) Google Cloud
谷歌公司的云计算身份和访问管理提供了几种在谷歌云中管理身份和角色的方法。首先,Cloud IAM允许管理员授权谁可以对特定资源采取行动,从而提供对集中管理谷歌云平台资源的完全控制和可见性。此外,对于具有复杂组织结构、数百个工作组和许多项目的企业,Cloud IAM提供了跨整个组织的安全策略的统一视图,并提供了内置审核以简化合规性流程。
还可以使用Cloud Identity,这是一种身份即服务(IDaaS)产品,可以集中管理用户和组。企业可以配置Cloud Identity来联合谷歌公司和其他身份提供商之间的身份。谷歌云平台还提供Titan安全密钥,以提供加密证明,证明用户正在与合法服务(即他们注册安全密钥的服务)交互,并且他们拥有安全密钥。
最后,Cloud Resource Manager提供组织、文件夹和项目等资源容器,允许企业对谷歌云平台资源进行分组和分层组织。
(3) Microsoft Azure
Azure Active Directory(Azure AD)是一种企业身份服务,它提供对Azure服务以及企业网络、内部部署资源和数千个SaaS应用程序的单点登录、多重身份验证和条件访问。Azure AD使企业能够通过安全的自适应访问保护身份,通过统一的身份管理简化访问和控制,并确保符合简化的身份治理。微软公司表示,它可以帮助保护用户免受99.9%的网络安全攻击。
3. 数据保护和加密
(1) AWS
AWS能够为云中的静态数据添加一层安全保护。它提供可扩展的加密功能,包括大多数AWS服务(包括Amazon EBS、Amazon S3、Amazon RDS、Amazon Redshift、Amazon ElastiCache、AWS Lambda和Amazon SageMaker)中的静态数据加密功能。
还提供灵活的密钥管理选项,包括AWS密钥管理服务,该服务允许公司选择是让AWS管理加密密钥还是完全控制自己的密钥;使用AWS Cloud HSM的基于硬件的专用加密密钥存储;以及使用Amazon SQS的服务器端加密(SSE)传输敏感数据的加密消息队列。
(2) Google Cloud
谷歌公司提供机密计算,该公司称之为一种“突破性”技术,可以对使用中的数据进行加密——即在处理数据时。机密计算环境将数据加密在内存和中央处理单元之外的其他地方。
机密计算产品组合中的第一个产品是机密虚拟机。谷歌公司已经使用各种隔离和沙盒技术作为其云计算基础设施的一部分,以帮助确保其多租户架构的安全,而机密虚拟机通过提供内存加密将其提升到一个新的水平,以便用户可以进一步隔离云中的工作负载。
另一个产品,云外部密钥管理器(Cloud EKM),允许企业使用在受支持的外部密钥管理合作伙伴中管理的密钥来保护谷歌云平台中的数据。企业可以对第三方密钥保持密钥来源,并控制密钥的创建、位置和分发。他们还可以完全控制谁访问他们的密钥。
(3) Microsoft Azure
Azure Key Vault有助于保护云计算应用程序和服务使用的加密密钥和机密。Azure Key Vault旨在简化密钥管理流程,并使企业能够保持对访问和加密数据的密钥的控制。开发人员可以在几分钟内创建用于开发和测试的密钥,然后将它们迁移到生产密钥。安全管理员可以根据需要授予和撤销对密钥的权限。
Microsoft Information Protection和Microsoft Information Governance有助于保护和管理Microsoft 365中的数据。Microsoft Information Protection将数据丢失防护扩展到所有Microsoft365应用程序和服务,以及Windows 10和Edge。Azure权限帮助企业了解其结构化数据的位置,以便更好地保护和管理这些数据。
4. 应用安全
(1) AWS
AWS Shield是一项托管DDoS保护服务,可以保护在AWS云平台上运行的应用程序。AWS Shield提供始终在线的检测和自动内联缓解措施,旨在最大限度地减少应用程序停机时间和延迟。AWS Shield有标准和高级两个层级。
所有AWS客户都有权享受AWS Shield Standard的自动保护,该公司表示,该标准可以防御针对网站或应用程序的最常见的网络层和传输层DDoS攻击。当Shield Standard与Amazon Cloud Front和Amazon Route 53一起使用时,客户将获得针对所有已知基础设施攻击的全面保护。
为了针对在Amazon EC2、Elastic Load Balancing、Amazon CloudFront、AWS Global Accelerator和Amazon Route 53资源上运行的应用程序的攻击提供更高级别的保护,企业可以选择AWS Shield Advanced。除了Shield Standard附带的网络层和传输层保护之外,Shield Advanced还针对大型复杂DDoS攻击提供了额外的检测和缓解、近乎实时的攻击可见性以及与云计算提供商的Web应用程序防火墙AWS WAF的集成。
(2) Google Cloud
Google Cloud网络应用和API防护(WAAP)为网络应用和API提供全面的威胁防护。Cloud WAAP基于谷歌公司用来保护其面向公众的服务免受Web应用程序攻击、DDoS攻击、欺诈性机器人活动和API目标威胁的相同技术。
Cloud WAAP代表了从孤立应用保护到统一应用保护的转变,旨在提供改进的威胁预防、更高的运营效率以及整合的可见性和遥测功能。谷歌公司表示,它还提供跨云平台和内部部署环境的保护。
Cloud WAAP结合了三种产品,可提供针对威胁和欺诈的全面保护。一个是Google Cloud Armor,它是谷歌全球负载均衡基础设施的一部分,提供Web应用程序防火墙和DDoS功能。另一个是Apigee API Management,它提供API生命周期管理功能,重点关注安全性。第三个是reCaptcha Enterprise,它可以防止欺诈活动、垃圾邮件和滥用行为,例如凭证填充、自动帐户创建和自动机器人的攻击。
谷歌云平台另一个产品Cloud Security Scanner可以扫描漏洞,并深入了解Web应用程序漏洞,并允许企业在不良行为者利用它们之前采取行动。
(3) 微软Azure
Microsoft Cloud App Security是一个云应用安全代理,它结合了多功能可见性、对数据传输的控制、用户活动监控和复杂的分析,使客户能够识别和应对其所有Microsoft和第三方云服务中的网络威胁。Cloud App Security专为信息安全专业人士设计,与安全和身份工具(包括Azure Active Directory、Microsoft Intune、Microsoft information Protection)进行原生集成,并支持各种部署模式,包括日志收集、API连接器和反向代理。