公有云安全建立在“责任共担”模型之上:大型云服务提供商交付安全的超大规模环境,但保护移向云端的一切是客户自己的责任。对企业而言,这种安全责任分离在采用单一云供应商时已经够麻烦了,若采用多云环境,会更加复杂棘手。
正如资深安全专家Andy Ellis所说,“责任共担模型看起来非常清晰和简单,但实际上经不起检查。企业很难解析云平台与在其上运行的应用程序之间的关联。现实情况是,客户如何配置云服务对应用程序的安全性至关重要。客户可能面临的棘手情况非常多。”
然而,将云服务提供商的责任和客户的角色分隔开的那堵坚墙已经开始坍塌。ESG高级分析师Melinda Marks表示,为了让自己脱颖而出,云服务供应商正在认识到责任共担模式的缺陷,并试图与客户建立更多的合作关系。
那么,CISO如何确定三大云服务提供商在解决这些问题和提供安全且有弹性的云平台的方式上有何差异?
在深入了解每个供应商的具体细节之前,以下是Securosis分析师兼首席执行官Richard Mogull列出的三个基本出发点:
1. 三巨头倾向于保密内部过程和程序,它们都在保护数据中心的物理安全、抵御内部人攻击以及保护支撑应用及开发平台运行的虚拟层安全方面做得十分出色。
2. 云本质上是一种新型的数据中心,每个云服务提供商在技术层面和实际实施细节方面都有根本的不同。企业的最佳选择是投资员工培训,以便他们能够获取在这些云环境中操作的专业知识。
3. 除了每个供应商平台的具体细节之外,Mogull认为市场份额与拥有最广泛的第三方工具、最深入的知识库和最大的社区相关。根据分析公司Canalys对2022年第一季度云服务收入的分析结果显示,AWS拥有33%的市场份额,Azure以21%位居第二,谷歌以8%位居第三。
谷歌云:从“责任共担”到“命运共同体”
在重新定义责任共担模式方面,Google的口号最具轰动效应。Google创造了一个新术语,称之为“共同命运”。
根据谷歌CISO Phil Venables的说法,“责任共担模型在谁处理威胁检测、配置最佳实践以及安全违规和异常活动警报的某些方面产生了‘不确定性’。共同命运代表了在云服务提供商与其客户之间建立更紧密合作关系的下一步演进,以便每个人都能更好地应对当前和日益增长的安全挑战,同时仍能兑现数字化转型的承诺。”
“共同命运”的功能包括旨在确保安全基础的默认配置、帮助客户更轻松地配置产品和服务的蓝图以及安全策略层次结构,以便在整个基础架构中自动启用策略意图。此外,谷歌还有一个计划,将云客户与为谷歌云工作负载提供专业保险的保险公司联系起来,提供独特的风险管理组件。
在比较三巨头时,谷歌处于一个有趣的位置。Mogull指出,谷歌云建立在谷歌的长期工程和全球运营之上,令人印象深刻。
然而,Mogull指出,谷歌仅占据8%的云计算市场份额是一个问题,这意味着具有深厚谷歌云经验的安全专家较少,社区的健壮性和工具也较少。他说,总体而言,谷歌云不如AWS成熟,也没有同样广泛的安全功能。
谷歌正在努力解决这个问题,并于最近宣布了一种被称为“隐形安全”(invisible security)的概念。这个想法是谷歌将继续扩展其云原生安全产品,以便客户可以减少对第三方工具的依赖。
一个例子是谷歌的Cloud IDS,这是一种托管入侵检测系统,企业只需单击几下即可部署该系统,以保护自己免受恶意软件、间谍软件、命令和控制攻击以及其他基于网络的威胁。
Microsoft Azure重点解决多云安全问题
微软通过发布Microsoft Defender for Cloud开始努力应对保护多云环境的挑战,它提供跨Azure、AWS和Google Cloud的云安全状态管理(CSPM)和云工作负载保护(CWP)。
这些工具的目标是找到跨云配置的薄弱环节,帮助强化整体安全态势,并保护工作负载免受跨多云和混合环境不断演变的威胁。Microsoft Defender for Cloud涵盖虚拟机、容器、数据库、存储和应用程序服务。
但是,责任共担模型仍然存在于Azure云中。企业仍需对其数据和身份、本地资源、端点、帐户和访问管理的安全负责。
Mogull表示,Azure只是比AWS在成熟度方面略逊一筹,尤其是在一致性、文档以及许多服务默认使用不太安全的配置方面。但Azure确实有一些优势,Azure Active Directory可以链接到企业Active Directory,为授权和权限管理提供单一事实来源,这意味着可以从单个目录管理所有内容。Mogull认为,Azure的身份和访问管理层次分明,开箱即用,并且比AWS更易于管理。
就市场势头而言,Mogull表示微软正在强势崛起,因为它知道如何利用其与企业客户的现有关系。然而,他警告称,企业应该考虑到微软并没有像纯粹的安全供应商那样将安全融入DNA中。
Amazon Web Services(AWS)提供广泛的安全工具集
作为历史最悠久、最具主导地位的云服务供应商,AWS在知识和工具方面具有绝对优势。Mogull表示,“更容易获得答案、寻求帮助和找到支持的工具。这是AWS平台整体成熟度的基础。”
AWS拥有庞大的第三方供应商市场,并提供各种附加产品以及咨询、培训和认证服务。Marks指出,AWS 对他们拥有的功能进行了很多思考。例如Inspector,这是一项持续扫描Amazon EC2实例和容器映像,以查找软件漏洞和意外网络暴露的服务。
Amazon GuardDuty是一项威胁检测服务,可持续监控AWS账户和工作负载的恶意活动,并提供详细的安全调查结果以获取可见性和补救方案。
这些附加服务和其他服务都属于AWS Security Hub的范畴,后者从AWS服务和第三方合作伙伴收集安全数据,并提供客户安全状态的综合视图。
Mogull补充道,AWS的两个最好的安全功能是对安全组(防火墙)和精细IAM的出色实施。但是,除非明确启用访问权限,否则AWS安全性仍然主要基于将服务彼此隔离。从安全角度来看,这很有效,但代价是使企业规模化的管理变得更加困难,同时加剧大规模管理IAM的难度。
关于企业网D1net(www.d1net.com):
国内主流的to B IT门户,同时在运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。同时运营18个IT行业公众号(微信搜索D1net即可关注)
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号