本指南介绍了AWS、Microsoft Azure和谷歌Cloud提供的网络、基础设施、数据和应用程序安全功能,以防止网络攻击,保护基于云的资源和工作负载。
在选择公共云服务提供商时,企业面临的最大考虑是它们提供的网络安全水平,这意味着它们为保护自己的网络和服务,以及保护客户数据安全、免受入侵和其他攻击而设置的功能和能力。
三家主要的云服务提供商——amazon Web Services (AWS)、谷歌云平台(GCP)和微软azure——都非常重视安全性,原因显而易见。一个广为人知的安全漏洞最终被归咎于他们的服务,可能会吓跑无数的潜在客户,造成数百万美元的损失,并可能导致合规处罚。
以下是三大云服务提供商在网络安全的四个关键领域提供的服务。
1.网络和基础设施安全
AWS提供了一些安全功能和服务,旨在增加隐私和控制网络访问。这些包括网络防火墙,允许客户创建私有网络并控制对实例或应用程序的访问。公司可以在AWS服务的传输过程中控制加密。
还包括启用私人或专用连接的连接选项;可作为应用程序和内容交付战略的一部分应用的分布式拒绝服务缓解技术;以及自动加密AWS全球和区域网络上AWS安全设施之间的所有流量。
谷歌GCP专门为安全设计并实现了硬件,比如Titan,这是一种定制的安全芯片,GCP使用它来建立其服务器和外围设备信任的硬件根。谷歌建立自己的网络硬件来提高安全性。这一切都体现在它的数据中心设计中,其中包括多层物理和逻辑保护。
在网络方面,GCP已经设计并继续发展全球网络基础设施,以支持其云服务抵御分布式拒绝服务(DDoS)等攻击,并保护其服务和客户。2017年,该基础设施吸收了2.5 Tbps的DDoS攻击,这是迄今为止报告的最高带宽攻击。
除了其全球网络基础设施的内置功能,GCP还提供网络安全功能,客户可以选择部署。这些服务包括云负载平衡和云防护,云防护是一种网络安全服务,可以防御DDoS和应用程序攻击。
谷歌采用了一些安全措施来帮助确保传输中的数据的真实性、完整性和私密性。当数据移动到不受谷歌控制的物理边界之外时,它在一个或多个网络层上对传输中的数据进行加密和身份验证。
微软Azure运行在由微软管理和运营的数据中心中。据该公司称,这些地理上分散的数据中心符合安全与可靠性的关键行业标准。数据中心由具有多年经验的微软运营人员管理、监视和管理。
微软还对操作人员进行后台验证检查,并根据后台验证的级别限制对应用程序、系统和网络基础设施的访问。
Azure Firewall是一个托管的、基于云的网络安全服务,保护Azure虚拟网络资源。它是一个具有内置高可用性和无限制可伸缩性的全状态防火墙服务。
Azure Firewall可以解密出站流量,执行所需的安全检查,然后在将流量转发到目的地之前对其重新加密。管理员可以允许或拒绝用户访问网站类别,如赌博、社交媒体或其他。
2.身份和访问控制
AWS提供跨AWS服务定义、执行和管理用户访问策略的功能。其中包括AWS身份和访问管理(IAM),它允许公司定义个人用户帐户与AWS资源的权限,以及AWS多因素认证的特权帐户,其中包括基于软件和基于硬件的认证选项。
AWS IAM可用于授予员工和应用程序对AWS管理控制台和AWS服务api的联合访问权,使用现有的身份系统,如Microsoft Active Directory或其他合作伙伴产品。
AWS还提供AWS目录服务(AWS Directory Service),该服务允许组织与企业目录进行集成和联合,以减少管理开销并改善最终用户体验,以及AWS单点登录(SSO),该服务允许组织管理用户对AWS中所有账户的访问和权限。
谷歌GCP的云身份和访问管理提供了几种方式来管理谷歌云中的身份和角色。首先,Cloud IAM允许管理员授权谁可以对特定资源采取行动,提供完全控制和可见性,以集中管理GCP资源。此外,对于具有复杂组织结构、数百个工作组和许多项目的企业,Cloud IAM提供了对整个组织的安全策略的统一视图,内置审计以简化遵从流程。
云身份(Cloud Identity)也是可用的,这是一种身份即服务(idas),可以集中管理用户和组。公司可以配置云身份来联合谷歌和其他身份提供商之间的身份。GCP还提供Titan安全密钥,提供密码证明,用户正在与合法服务(即他们向其注册了安全密钥的服务)进行交互,并且他们拥有安全密钥。
最后,云资源管理器提供了组织、文件夹和项目等资源容器,允许组织对GCP资源进行分组和分层组织。
微软的Azure Active Directory (Azure AD)是一种企业身份识别服务,提供单点登录、多因素认证和对Azure服务、企业网络、预部署资源和数以千计的SaaS应用程序的有条件访问。
Azure AD使组织能够通过安全的自适应访问来保护身份,通过统一的身份管理来简化访问和简化控制,并确保遵循简化的身份治理。微软表示,它可以帮助用户抵御99.9%的网络安全攻击。
3.数据保护和加密
AWS提供了为云中的静止数据添加一层安全层的能力。它提供了可扩展的加密功能,包括大多数AWS服务中的静态数据加密功能,包括Amazon EBS、Amazon S3、Amazon RDS、Amazon Redshift、Amazon ElastiCache、AWS Lambda和Amazon SageMaker。
此外,还提供了灵活的密钥管理选项,包括AWS密钥管理服务,该服务让企业选择是让AWS管理加密密钥,还是完全控制自己的密钥;使用AWS clouddhsm的专用、基于硬件的加密密钥存储;并使用Amazon SQS的服务器端加密(SSE)加密消息队列来传输敏感数据。
谷歌提供机密计算,它称之为“突破性”技术,可以对正在使用的数据进行加密,也就是说,在数据处理过程中。机密计算环境将数据加密保存在内存和中央处理单元之外的其他地方。
机密计算组合中的第一个产品是机密虚拟机。谷歌已经使用了各种隔离和沙箱技术作为其云基础设施的一部分,以帮助其多租户架构安全,而Confidential VMs通过提供内存加密将这一技术提升到下一个层次,以便用户可以进一步隔离云中的工作负载。
另一个产品,云外部密钥管理器(Cloud EKM),允许组织使用他们在支持的外部密钥管理合作伙伴中管理的密钥来保护谷歌云平台中的数据。公司可以通过控制密钥的创建、位置和分发来维护第三方密钥的密钥来源。他们还可以完全控制谁可以访问他们的密钥。
Azure Key Vault有助于保护云应用程序和服务使用的加密密钥和秘密。Azure Key Vault旨在简化密钥管理流程,并使公司能够维护对访问和加密数据的密钥的控制。
开发人员可以在几分钟内创建用于开发和测试的密钥,然后将它们迁移到生产密钥。安全管理员可以根据需要授予和撤销密钥权限。
Microsoft Information Protection和Microsoft Information Governance帮助保护和治理Microsoft 365中的数据。
微软信息保护扩展了所有微软365应用程序和服务的数据丢失预防,以及Windows 10和Edge。Azure Purview帮助组织了解结构化数据的位置,以便更好地保护和管理这些数据。
4.应用安全
AWS Shield是一个托管DDoS保护服务,用于保护在亚马逊云上运行的应用程序。AWS Shield提供始终在线检测和自动内联缓解,旨在最大限度地减少应用程序停机时间和延迟。AWS Shield有两层,标准和高级。
AWS的所有客户都有权享受AWS Shield标准的自动保护。该公司表示,该标准可以抵御针对网站或应用程序的最常见的网络层和传输层DDoS攻击。当Shield标准与Amazon CloudFront和Amazon Route 53一起使用时,客户可以得到全面的保护,免受所有已知的基础设施攻击。
对于针对运行在Amazon EC2、Elastic Load Balancing、Amazon CloudFront、AWS Global Accelerator和Amazon Route 53资源上的应用程序的更高级别的保护,公司可以选择AWS Shield Advanced。
除了Shield Standard附带的网络层和传输层保护,Shield Advanced还提供针对大型复杂DDoS攻击的额外检测和缓解,对攻击的近实时可视性,并与云提供商的web应用防火墙AWS WAF集成。
谷歌WAAP (Cloud Web App and API Protection)为Web应用和API提供全面的威胁保护。Cloud WAAP基于谷歌用于保护面向公众的服务免受web应用程序攻击、DDoS攻击、欺诈机器人活动和API目标威胁的相同技术。
Cloud WAAP代表了从竖井保护到统一应用保护的转变,旨在提供更好的威胁预防、更高的运营效率以及统一的可见性和遥测技术。谷歌说,它还提供跨云和内部环境的保护。
Cloud WAAP结合了三种产品,提供针对威胁和欺诈的全面保护。一个是谷歌Cloud Armor,它是GCP全球负载平衡基础设施的一部分,提供web应用防火墙和anti-DDoS能力。另一个是Apigee API Management,它提供API生命周期管理功能,重点关注安全性。第三种是reCaptcha Enterprise,它提供了对欺诈活动、垃圾邮件和滥用(如凭证填充、自动创建帐户和来自自动化机器人的攻击)的保护。
GCP的另一款产品云安全扫描器(Cloud Security Scanner)可以扫描漏洞,并洞察web应用程序的漏洞,允许公司在坏人利用漏洞之前采取行动。
微软Azure云应用安全是一个云应用安全代理,它结合了多功能可见性、对数据旅行的控制、用户活动监控和复杂的分析,允许客户识别和打击所有微软和第三方云服务的网络威胁。
Cloud App security为信息安全专业人士设计,与Azure Active Directory、Microsoft Intune、Microsoft information Protection等安全与身份工具原生集成,支持日志收集、API连接器、反向代理等多种部署方式。
*原文: https://www.infoworld.com/article/3634111/cyber-security-in-the-public-cloud.html