公有云安全建立在“責任共擔”模型之上:大型云服務提供商交付安全的超大規模環境,但保護移向云端的一切是客戶自己的責任。對企業而言,這種安全責任分離在采用單一云供應商時已經夠麻煩了,若采用多云環境,會更加復雜棘手。
正如資深安全專家Andy Ellis所說,“責任共擔模型看起來非常清晰和簡單,但實際上經不起檢查。企業很難解析云平臺與在其上運行的應用程序之間的關聯。現實情況是,客戶如何配置云服務對應用程序的安全性至關重要。客戶可能面臨的棘手情況非常多。”
然而,將云服務提供商的責任和客戶的角色分隔開的那堵堅墻已經開始坍塌。ESG高級分析師Melinda Marks表示,為了讓自己脫穎而出,云服務供應商正在認識到責任共擔模式的缺陷,并試圖與客戶建立更多的合作關系。
那么,CISO如何確定三大云服務提供商在解決這些問題和提供安全且有彈性的云平臺的方式上有何差異?
在深入了解每個供應商的具體細節之前,以下是Securosis分析師兼首席執行官Richard Mogull列出的三個基本出發點:
1. 三巨頭傾向于保密內部過程和程序,它們都在保護數據中心的物理安全、抵御內部人攻擊以及保護支撐應用及開發平臺運行的虛擬層安全方面做得十分出色。
2. 云本質上是一種新型的數據中心,每個云服務提供商在技術層面和實際實施細節方面都有根本的不同。企業的最佳選擇是投資員工培訓,以便他們能夠獲取在這些云環境中操作的專業知識。
3. 除了每個供應商平臺的具體細節之外,Mogull認為市場份額與擁有最廣泛的第三方工具、最深入的知識庫和最大的社區相關。根據分析公司Canalys對2022年第一季度云服務收入的分析結果顯示,AWS擁有33%的市場份額,Azure以21%位居第二,谷歌以8%位居第三。
谷歌云:從“責任共擔”到“命運共同體”
在重新定義責任共擔模式方面,Google的口號最具轟動效應。Google創造了一個新術語,稱之為“共同命運”。
根據谷歌CISO Phil Venables的說法,“責任共擔模型在誰處理威脅檢測、配置最佳實踐以及安全違規和異常活動警報的某些方面產生了‘不確定性’。共同命運代表了在云服務提供商與其客戶之間建立更緊密合作關系的下一步演進,以便每個人都能更好地應對當前和日益增長的安全挑戰,同時仍能兌現數字化轉型的承諾。”
“共同命運”的功能包括旨在確保安全基礎的默認配置、幫助客戶更輕松地配置產品和服務的藍圖以及安全策略層次結構,以便在整個基礎架構中自動啟用策略意圖。此外,谷歌還有一個計劃,將云客戶與為谷歌云工作負載提供專業保險的保險公司聯系起來,提供獨特的風險管理組件。
在比較三巨頭時,谷歌處于一個有趣的位置。Mogull指出,谷歌云建立在谷歌的長期工程和全球運營之上,令人印象深刻。
然而,Mogull指出,谷歌僅占據8%的云計算市場份額是一個問題,這意味著具有深厚谷歌云經驗的安全專家較少,社區的健壯性和工具也較少。他說,總體而言,谷歌云不如AWS成熟,也沒有同樣廣泛的安全功能。
谷歌正在努力解決這個問題,并于最近宣布了一種被稱為“隱形安全”(invisible security)的概念。這個想法是谷歌將繼續擴展其云原生安全產品,以便客戶可以減少對第三方工具的依賴。
一個例子是谷歌的Cloud IDS,這是一種托管入侵檢測系統,企業只需單擊幾下即可部署該系統,以保護自己免受惡意軟件、間諜軟件、命令和控制攻擊以及其他基于網絡的威脅。
Microsoft Azure重點解決多云安全問題
微軟通過發布Microsoft Defender for Cloud開始努力應對保護多云環境的挑戰,它提供跨Azure、AWS和Google Cloud的云安全狀態管理(CSPM)和云工作負載保護(CWP)。
這些工具的目標是找到跨云配置的薄弱環節,幫助強化整體安全態勢,并保護工作負載免受跨多云和混合環境不斷演變的威脅。Microsoft Defender for Cloud涵蓋虛擬機、容器、數據庫、存儲和應用程序服務。
但是,責任共擔模型仍然存在于Azure云中。企業仍需對其數據和身份、本地資源、端點、帳戶和訪問管理的安全負責。
Mogull表示,Azure只是比AWS在成熟度方面略遜一籌,尤其是在一致性、文檔以及許多服務默認使用不太安全的配置方面。但Azure確實有一些優勢,Azure Active Directory可以鏈接到企業Active Directory,為授權和權限管理提供單一事實來源,這意味著可以從單個目錄管理所有內容。Mogull認為,Azure的身份和訪問管理層次分明,開箱即用,并且比AWS更易于管理。
就市場勢頭而言,Mogull表示微軟正在強勢崛起,因為它知道如何利用其與企業客戶的現有關系。然而,他警告稱,企業應該考慮到微軟并沒有像純粹的安全供應商那樣將安全融入DNA中。
Amazon Web Services(AWS)提供廣泛的安全工具集
作為歷史最悠久、最具主導地位的云服務供應商,AWS在知識和工具方面具有絕對優勢。Mogull表示,“更容易獲得答案、尋求幫助和找到支持的工具。這是AWS平臺整體成熟度的基礎。”
AWS擁有龐大的第三方供應商市場,并提供各種附加產品以及咨詢、培訓和認證服務。Marks指出,AWS 對他們擁有的功能進行了很多思考。例如Inspector,這是一項持續掃描Amazon EC2實例和容器映像,以查找軟件漏洞和意外網絡暴露的服務。
Amazon GuardDuty是一項威脅檢測服務,可持續監控AWS賬戶和工作負載的惡意活動,并提供詳細的安全調查結果以獲取可見性和補救方案。
這些附加服務和其他服務都屬于AWS Security Hub的范疇,后者從AWS服務和第三方合作伙伴收集安全數據,并提供客戶安全狀態的綜合視圖。
Mogull補充道,AWS的兩個最好的安全功能是對安全組(防火墻)和精細IAM的出色實施。但是,除非明確啟用訪問權限,否則AWS安全性仍然主要基于將服務彼此隔離。從安全角度來看,這很有效,但代價是使企業規模化的管理變得更加困難,同時加劇大規模管理IAM的難度。
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營18個IT行業公眾號(微信搜索D1net即可關注)
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號