何时使用和不使用云原生安全工具

责任编辑：cres 作者：Chris Tozzi |来源：企业网D1Net 2020-10-10 10:15:16 原创文章企业网D1Net

虽然主要云计算供应商提供的安全工具很方便，但这对一些用户来说并不意味着总是正确的选择。因此需要了解如何决定何时应选择使用第三方安全工具。

随着网络攻击的增加，对于大多数组织来说，云安全成为头等大事也就不足为奇了。但是，组织的IT团队通常很难选择正确的策略，因为有很多工具和服务可以帮助保护其环境。

主要有两种可用于保护云计算工作负载的服务：云计算供应商提供的云原生安全工具，以及来自其他公司的第三方安全工具或者在某些情况下提供的开放源代码项目。

但是哪种类型的云安全工具是最好的?其答案很大程度上取决于特定的云计算架构以及组织的安全需求的性质。

云原生安全工具

大多数公共云提供商都提供几种类型的云原生安全工具，每种工具都旨在满足不同的安全需求。但是由用户自行决定是否可以满足其特定的安全要求。

在组织确定云原生安全工具是否适合其工作负载之前，需要探索可从AWS、谷歌云平台和微软Azure获得的不同类型的安全产品。每个供应商提供每种工具的功能或多或少是等效的，尽管并非总是在它们之间进行一对一的比较。

身份和访问管理

所有公共云都提供身份和访问管理(IAM)框架。云计算管理员可以使用这些框架来配置哪些用户或服务可以访问不同的基于云计算的工作负载或资源。

这些类型的供应商工具还提供补充服务，用于实施双因素身份验证、将基于云计算的访问管理(IAM)框架与目录服务集成，以及管理与身份验证和授权相关的其他常见任务。

审计与监控

诸如Amazon Inspector和Microsoft Azure安全中心之类的云原生安全工具会自动检查常见类型的云计算工作负载的配置，并在检测到潜在的安全问题时生成警报。谷歌云数据丢失预防和Amazon Macie通过自动检测未得到适当保护的敏感信息并向用户发出警报，为数据提供了类似的功能。

为了进一步保护数据，有一些工具(例如Amazon GuardDuty和Azure Advanced Threat Protection)可以监视可能预示基于云计算的环境和内部部署环境中安全问题的事件。

防火墙和防止DDoS攻击

IT团队使用Google Cloud Armor、AWS网络应用防火墙和Azure防火墙等服务来配置防火墙，以控制对云平台中运行的应用程序的网络访问。相关工具可缓解针对基于云计算资源的DDoS攻击。

加密

可以使用Amazon S3和Azure Blob Storage等存储服务中内置的原生功能对主要公共云上存储的数据进行选择性加密(在默认情况下会自动加密)。公共云供应商还提供基于云的密钥管理服务，例如Azure Key Vault和谷歌关键管理服务(Google Key Management Service)，以安全地跟踪加密密钥。

安全运营中心

最后，为帮助云计算管理员集中管理所有安全工具及其相关数据，云计算供应商还提供了与安全运营中心差不多的服务。全球三个主要的云计算提供商提供了Azure安全中心、AWS安全中心和谷歌云平台的安全运营中心，以帮助用户管理其安全工具。

第三方云安全工具

尽管某些组织将默认使用其云计算提供商的原生安全工具，但还有其他选择。实际上，许多第三方工具可以实现上述相同的功能。

例如，如果要监视云计算基础设施中的安全事件，则可以使用商业服务，例如Splunk、IBM QRadar或LogRhythm，它们也提供安全运营中心的许多功能。

组织可以使用VeraCrypt或AxCrypt等开源工具对存储在云中的数据进行加密。诸如Cloudflare和Akamai之类的第三方防火墙服务可以保护云计算应用程序免受网络攻击者的威胁。

这就引出了一个问题：是使用云计算供应商的安全工具还是选择第三方产品?确定最佳方法时需要权衡三个因素。

组织的原生安全需求是什么?

尽管组织可以使用某些云原生安全服务(例如Amazon GuardDuty和Azure Advanced Threat Protection)来管理内部部署设施和基于云计算基础设施的安全风险，但其他服务仅在云平台中工作。例如，不能使用基于云计算的数据安全服务的原生加密功能来加密内部部署的数据。

另一个例子是，基于云计算的防火墙服务可能被用来保护内部部署应用程序，但前提是要建立一个相对复杂和昂贵的架构，将这些应用程序与云计算防火墙服务集成在一起。

因此，组织最好在企业内部和公共云中广泛使用第三方选项。在这种情况下，公共云原生安全工具是不够的，因为第三方提供商在保护基于云计算的资源和内部部署资源方面提供了更多的平等性。

是采用多云的组织吗?