關(guān)于三大公有云平臺的網(wǎng)絡(luò )安全 不可不了解的四
發(fā)布時(shí)間:2021-11-03 13:46
來(lái)源:企業(yè)網(wǎng)D1Net
閱讀:0
作者:Bob Violino
欄目: 云計算
歡迎投稿:712375056
全球三個(gè)主要的云計算提供商AWS����、Microsoft Azure和Google Cloud都非常重視安全性����,其原因顯而易見(jiàn)����。以下是該三大云計算提供商在網(wǎng)絡(luò )安全的四個(gè)關(guān)鍵領(lǐng)域提供的服務(wù)��。
AWS����、Microsoft Azure和Google Cloud提供的網(wǎng)絡(luò )�、基礎設施�、數據和應用程序安全功能的簡(jiǎn)要指南�����,可以幫助企業(yè)防止網(wǎng)絡(luò )攻擊�,并保護企業(yè)的基于云計算的資源和工作負載���。
企業(yè)在選擇服務(wù)提供商時(shí)的最主要考慮因素是他們提供的級別���,這意味著(zhù)他們?yōu)楸Wo自己的網(wǎng)絡(luò )和服務(wù)以及保護客戶(hù)數據免受破壞和其他攻擊而實(shí)施的特性和能力�����。
全球三個(gè)主要的云計算提供商AWS��、Microsoft Azure和Google Cloud都非常重視安全性����,其原因顯而易見(jiàn)����。如果他們提供的云服務(wù)出現廣為人知的安全漏洞�����,那么這樣的事件可能會(huì )嚇跑潛在客戶(hù)��,造成數百萬(wàn)美元的損失���,并可能導致合規性處罰�。
以下是全球三大云計算提供商在網(wǎng)絡(luò )安全的四個(gè)關(guān)鍵領(lǐng)域提供的服務(wù)��。
1. 網(wǎng)絡(luò )和基礎設施安全
(1) AWS
AWS云平臺提供了多種安全功能和服務(wù)���,旨在增強隱私和控制網(wǎng)絡(luò )訪(fǎng)問(wèn)�����。其中包括允許客戶(hù)創(chuàng )建私有網(wǎng)絡(luò )��,并控制對實(shí)例或應用程序的訪(fǎng)問(wèn)的網(wǎng)絡(luò )防火墻�。企業(yè)可以在A(yíng)WS服務(wù)的傳輸過(guò)程中控制加密����。
還包括啟用專(zhuān)用或專(zhuān)用連接的連接選項;分布式拒絕服務(wù)緩解技術(shù)�,可以作為應用程序和內容交付策略的一部分;自動(dòng)加密AWS公司在全球和區域網(wǎng)絡(luò )上安全設施之間的所有流量����。
(2) Google Cloud
谷歌公司專(zhuān)門(mén)為安全設計并采用了安全硬件�,例如定制的安全芯片Titan���。谷歌云平臺(Google Cloud)使用它在其服務(wù)器和外圍設備中提供安全基礎�。谷歌公司構建自己的網(wǎng)絡(luò )硬件以提高安全性��。這一切都集中在其數據中心設計中�����,其中包括多層物理和邏輯保護�����。
在網(wǎng)絡(luò )方面�����,谷歌云平臺設計并持續發(fā)展全球網(wǎng)絡(luò )基礎設施���,以支持其云服務(wù)抵御分布式拒絕服務(wù)(DDoS)等攻擊并保護其服務(wù)和客戶(hù)�。2017年���,谷歌云平臺的基礎設施遭到了2.5Tbps的DDoS攻擊���,這是迄今為止報告的一次最高帶寬攻擊����。
除了其全球網(wǎng)絡(luò )基礎設施的內置功能外���,谷歌云平臺還提供客戶(hù)可以選擇部署的網(wǎng)絡(luò )安全功能����。其中包括云負載平衡和Cloud Armor����,這是一種網(wǎng)絡(luò )安全服務(wù)�����,可以抵御DDoS和應用程序攻擊����。
谷歌公司采取了多項安全措施來(lái)幫助確保傳輸中數據的真實(shí)性�����、完整性和隱私性���。當數據移動(dòng)到不受該公司控制的物理邊界之外時(shí)���,它會(huì )在一個(gè)或多個(gè)網(wǎng)絡(luò )層對傳輸中的數據進(jìn)行加密和認證����。
(3) Microsoft Azure
Microsoft Azure在由微軟公司管理和運營(yíng)的數據中心中運行�����。微軟公司表示�,這些地理位置分散的數據中心符合安全性和可靠性的關(guān)鍵行業(yè)標準���。數據中心由具有多年經(jīng)驗的微軟公司運營(yíng)人員管理�����、監控和管理��。
微軟公司還對運營(yíng)人員進(jìn)行背景驗證檢查��,并根據背景驗證的級別限制對應用程序����、系統和網(wǎng)絡(luò )基礎設施的訪(fǎng)問(wèn)���。
Azure防火墻是一種托管的�����、基于云計算的網(wǎng)絡(luò )安全服務(wù)�,用于保護Azure虛擬網(wǎng)絡(luò )資源�。它是一個(gè)完全有狀態(tài)的防火墻即服務(wù)���,具有內置的高可用性和不受限制的可擴展性���。Azure防火墻可以解密出站流量���,執行所需的安全檢查�,然后在將流量轉發(fā)到目的地之前重新加密流量����。管理員可以允許或拒絕用戶(hù)訪(fǎng)問(wèn)網(wǎng)站類(lèi)別�����,例如賭博網(wǎng)站和社交媒體等����。
2. 身份和訪(fǎng)問(wèn)控制
(1) AWS
AWS公司提供跨AWS服務(wù)定義����、實(shí)施和管理用戶(hù)訪(fǎng)問(wèn)策略的功能���。其中包括AWS身份和訪(fǎng)問(wèn)管理(IAM)����,它允許企業(yè)定義具有跨AWS資源權限的單個(gè)用戶(hù)賬戶(hù)���,以及AWS特權帳戶(hù)的多因素身份驗證���,其中包括基于軟件和基于硬件的身份驗證器的選項����。AWS IAM可用于授予員工和應用程序對AWS管理控制臺和AWS服務(wù)API的聯(lián)合訪(fǎng)問(wèn)權限����,使用現有的身份系統�����,例如Microsoft Active Directory或其他合作伙伴產(chǎn)品�。
(2) Google Cloud
谷歌公司的云計算身份和訪(fǎng)問(wèn)管理提供了幾種在谷歌云中管理身份和角色的方法���。首先�����,Cloud IAM允許管理員授權誰(shuí)可以對特定資源采取行動(dòng)�����,從而提供對集中管理谷歌云平臺資源的完全控制和可見(jiàn)性���。此外�����,對于具有復雜組織結構���、數百個(gè)工作組和許多項目的企業(yè)���,Cloud IAM提供了跨整個(gè)組織的安全策略的統一視圖���,并提供了內置審核以簡(jiǎn)化合規性流程���。
還可以使用Cloud Identity��,這是一種身份即服務(wù)(IDaaS)產(chǎn)品����,可以集中管理用戶(hù)和組�。企業(yè)可以配置Cloud Identity來(lái)聯(lián)合谷歌公司和其他身份提供商之間的身份���。谷歌云平臺還提供Titan安全密鑰��,以提供加密證明����,證明用戶(hù)正在與合法服務(wù)(即他們注冊安全密鑰的服務(wù))交互���,并且他們擁有安全密鑰�。
最后�����,Cloud Resource Manager提供組織�、文件夾和項目等資源容器��,允許企業(yè)對谷歌云平臺資源進(jìn)行分組和分層組織�����。
(3) Microsoft Azure
Azure Active Directory(Azure AD)是一種企業(yè)身份服務(wù)����,它提供對Azure服務(wù)以及企業(yè)網(wǎng)絡(luò )�����、內部部署資源和數千個(gè)SaaS應用程序的單點(diǎn)登錄�����、多重身份驗證和條件訪(fǎng)問(wèn)�。Azure AD使企業(yè)能夠通過(guò)安全的自適應訪(fǎng)問(wèn)保護身份����,通過(guò)統一的身份管理簡(jiǎn)化訪(fǎng)問(wèn)和控制�,并確保符合簡(jiǎn)化的身份治理�。微軟公司表示�,它可以幫助保護用戶(hù)免受99.9%的網(wǎng)絡(luò )安全攻擊�。
3. 數據保護和加密
(1) AWS
AWS能夠為云中的靜態(tài)數據添加一層安全保護��。它提供可擴展的加密功能�����,包括大多數AWS服務(wù)(包括Amazon EBS����、Amazon S3���、Amazon RDS����、Amazon Redshift�����、Amazon ElastiCache�、AWS Lambda和Amazon SageMaker)中的靜態(tài)數據加密功能�。
還提供靈活的密鑰管理選項�����,包括AWS密鑰管理服務(wù)����,該服務(wù)允許公司選擇是讓AWS管理加密密鑰還是完全控制自己的密鑰;使用AWS Cloud HSM的基于硬件的專(zhuān)用加密密鑰存儲;以及使用Amazon SQS的服務(wù)器端加密(SSE)傳輸敏感數據的加密消息隊列��。
(2) Google Cloud
谷歌公司提供機密計算��,該公司稱(chēng)之為一種“突破性”技術(shù)��,可以對使用中的數據進(jìn)行加密——即在處理數據時(shí)����。機密計算環(huán)境將數據加密在內存和中央處理單元之外的其他地方����。
機密計算產(chǎn)品組合中的第一個(gè)產(chǎn)品是機密虛擬機��。谷歌公司已經(jīng)使用各種隔離和沙盒技術(shù)作為其云計算基礎設施的一部分�,以幫助確保其多租戶(hù)架構的安全�,而機密虛擬機通過(guò)提供內存加密將其提升到一個(gè)新的水平�����,以便用戶(hù)可以進(jìn)一步隔離云中的工作負載�。
另一個(gè)產(chǎn)品����,云外部密鑰管理器(Cloud EKM)����,允許企業(yè)使用在受支持的外部密鑰管理合作伙伴中管理的密鑰來(lái)保護谷歌云平臺中的數據�。企業(yè)可以對第三方密鑰保持密鑰來(lái)源�,并控制密鑰的創(chuàng )建�、位置和分發(fā)���。他們還可以完全控制誰(shuí)訪(fǎng)問(wèn)他們的密鑰�。
(3) Microsoft Azure
Azure Key Vault有助于保護云計算應用程序和服務(wù)使用的加密密鑰和機密���。Azure Key Vault旨在簡(jiǎn)化密鑰管理流程�,并使企業(yè)能夠保持對訪(fǎng)問(wèn)和加密數據的密鑰的控制����。開(kāi)發(fā)人員可以在幾分鐘內創(chuàng )建用于開(kāi)發(fā)和測試的密鑰�����,然后將它們遷移到生產(chǎn)密鑰��。安全管理員可以根據需要授予和撤銷(xiāo)對密鑰的權限���。
Microsoft Information Protection和Microsoft Information Governance有助于保護和管理Microsoft 365中的數據�����。Microsoft Information Protection將數據丟失防護擴展到所有Microsoft365應用程序和服務(wù)���,以及Windows 10和Edge����。Azure權限幫助企業(yè)了解其結構化數據的位置����,以便更好地保護和管理這些數據���。
4. 應用安全
(1) AWS
AWS Shield是一項托管DDoS保護服務(wù)����,可以保護在A(yíng)WS云平臺上運行的應用程序����。AWS Shield提供始終在線(xiàn)的檢測和自動(dòng)內聯(lián)緩解措施���,旨在最大限度地減少應用程序停機時(shí)間和延遲�。AWS Shield有標準和高級兩個(gè)層級���。
所有AWS客戶(hù)都有權享受AWS Shield Standard的自動(dòng)保護�����,該公司表示�����,該標準可以防御針對網(wǎng)站或應用程序的最常見(jiàn)的網(wǎng)絡(luò )層和傳輸層DDoS攻擊��。當Shield Standard與Amazon Cloud Front和Amazon Route 53一起使用時(shí)��,客戶(hù)將獲得針對所有已知基礎設施攻擊的全面保護����。
為了針對在A(yíng)mazon EC2���、Elastic Load Balancing���、Amazon CloudFront���、AWS Global Accelerator和Amazon Route 53資源上運行的應用程序的攻擊提供更高級別的保護����,企業(yè)可以選擇AWS Shield Advanced����。除了Shield Standard附帶的網(wǎng)絡(luò )層和傳輸層保護之外���,Shield Advanced還針對大型復雜DDoS攻擊提供了額外的檢測和緩解�����、近乎實(shí)時(shí)的攻擊可見(jiàn)性以及與云計算提供商的Web應用程序防火墻AWS WAF的集成�����。
(2) Google Cloud
Google Cloud網(wǎng)絡(luò )應用和API防護(WAAP)為網(wǎng)絡(luò )應用和API提供全面的威脅防護��。Cloud WAAP基于谷歌公司用來(lái)保護其面向公眾的服務(wù)免受Web應用程序攻擊����、DDoS攻擊�����、欺詐性機器人活動(dòng)和API目標威脅的相同技術(shù)�����。
Cloud WAAP代表了從孤立應用保護到統一應用保護的轉變����,旨在提供改進(jìn)的威脅預防�����、更高的運營(yíng)效率以及整合的可見(jiàn)性和遙測功能���。谷歌公司表示�����,它還提供跨云平臺和內部部署環(huán)境的保護�。
Cloud WAAP結合了三種產(chǎn)品����,可提供針對威脅和欺詐的全面保護���。一個(gè)是Google Cloud Armor����,它是谷歌全球負載均衡基礎設施的一部分�����,提供Web應用程序防火墻和DDoS功能�。另一個(gè)是Apigee API Management�,它提供API生命周期管理功能�,重點(diǎn)關(guān)注安全性����。第三個(gè)是reCaptcha Enterprise��,它可以防止欺詐活動(dòng)�����、垃圾郵件和濫用行為�,例如憑證填充����、自動(dòng)帳戶(hù)創(chuàng )建和自動(dòng)機器人的攻擊���。
谷歌云平臺另一個(gè)產(chǎn)品Cloud Security Scanner可以?huà)呙杪┒?���,并深入了解Web應用程序漏洞����,并允許企業(yè)在不良行為者利用它們之前采取行動(dòng)��。
(3) 微軟Azure
Microsoft Cloud App Security是一個(gè)云應用安全代理���,它結合了多功能可見(jiàn)性�、對數據傳輸的控制���、用戶(hù)活動(dòng)監控和復雜的分析��,使客戶(hù)能夠識別和應對其所有Microsoft和第三方云服務(wù)中的網(wǎng)絡(luò )威脅��。Cloud App Security專(zhuān)為信息安全專(zhuān)業(yè)人士設計��,與安全和身份工具(包括Azure Active Directory�����、Microsoft Intune�、Microsoft information Protection)進(jìn)行原生集成�,并支持各種部署模式���,包括日志收集�����、API連接器和反向代理�����。
