介绍了本指南AWS、Microsoft Azure和谷歌Cloud为防止网络攻击,保护基于云的资源和工作负荷,提供网络、基础设施、数据和应用安全功能。
在选择公共云服务提供商时,企业面临的最大考虑因素是他们提供的网络安全水平,这意味着他们设置的功能和能力是为了保护自己的网络和服务,保护客户数据安全,避免入侵和其他攻击。
三大云服务提供商——amazon Web Services (AWS)、谷歌云平台(GCP)和微软azure——都非常重视安全性,原因显而易见。一个广为人知的安全漏洞最终被归咎于他们的服务,可能会吓跑无数的潜在客户,造成数百万美元的损失,并可能导致合规处罚。
以下是三大云服务提供商在网络安全四个关键领域提供的服务。
1.安全网络和基础设施
AWS为增加隐私和控制网络访问提供一些安全功能和服务。这些包括网络防火墙,允许客户创建私有网络,并控制实例或应用程序的访问。公司可以AWS加密控制在服务传输过程中。
它还包括使用私人或特殊连接的连接选项;分布式拒绝服务缓解技术,可作为应用程序和内容交付策略的一部分;以及自动加密AWS在全球和区域网络上AWS安全设施之间的所有流量。
谷歌GCP专门为安全设计和实现硬件,如Titan,这是一种定制的安全芯片,GCP使用它来建立其服务器和外围设备信任的硬件根。谷歌建立了自己的网络硬件来提高安全性。所有这些都反映在其数据中心设计中,包括多层物理和逻辑保护。
网络方面,GCP全球网络基础设施已经设计并继续发展,以支持其云服务抵抗分布式拒绝服务(DDoS)等待攻击,保护其服务和客户。2017年,基础设施被吸收2.5 Tbps的DDoS这是迄今为止报告的最高带宽攻击。
除全球网络基础设施内置功能外,GCP还提供网络安全功能,客户可以选择部署。这些服务包括云负载平衡和云保护。云保护是一种防御网络安全服务DDoS攻击应用程序。
谷歌采取了一些安全措施来帮助确保传输中数据的真实性、完整性和隐私。当数据移动到不受谷歌控制的物理边界时,它在一个或多个网络层中加密和验证传输中的数据。
微软Azure在微软管理和运营的数据中心运行。据该公司称,这些地理分散的数据中心符合安全和可靠性的关键行业标准。数据中心由具有多年经验的微软运营商管理、监控和管理。
微软还对操作人员进行后台验证检查,并根据后台验证系统和网络基础设施序、系统和网络基础设施。
Azure Firewall网络安全服务是基于云的托管和保护Azure虚拟网络资源。具有内置高可用性和无限可伸缩性的全状态防火墙服务。
Azure Firewall可以解密出站流量,进行所需的安全检查,然后在将流量转发到目的地之前重新加密。管理员可以允许或拒绝用户访问网站类别,如赌博、社交媒体或其他网站。
2.身份和访问控制
AWS提供跨AWS服务定义、执行和管理用户访问策略的功能。其中包括AWS身份及访问管理(IAM),允许公司定义个人用户账户AWS以及资源的权限AWS多因素认证的特权账户包括基于软件和硬件的认证选项。
AWS IAM可用于授予员工和应用程序AWS管理控制台和AWS服务api使用现有身份系统等联合访问权Microsoft Active Directory或其它合作伙伴产品。
AWS还提供AWS目录服务(AWS Directory Service),该服务允许组织与企业目录集成和联合,以减少管理费用,改善最终用户体验AWS单点登录(SSO),该服务允许组织和管理用户AWS访问和权限所有账户。
谷歌GCP在谷歌云中管理身份和角色的云身份和访问管理提供了几种方法。Cloud IAM允许管理员授权能够对特定资源采取行动,提供完全控制和可见性,集中管理GCP资源。此外,对于组织结构复杂、工作组数百个、项目多的企业,Cloud IAM内置审计为整个组织的安全策略提供了统一的视图,以简化遵从过程。
云身份(Cloud Identity)也是可用的,这是一种身份即服务(idas),用户和组可以集中管理。该公司可以将云身份与谷歌和其他身份提供商的身份相结合。GCP还提供Titan安全密钥,提供密码证明,用户正在与合法服务交互(即注册安全密钥的服务),并拥有安全密钥。
最后,云资源管理器提供组织、文件夹和项目等资源容器GCP分组和分层组织资源。
微软的Azure Active Directory (Azure AD)提供单点登录、多因素认证和对企业身份识别服务Azure服务、企业网络、预部署资源和数千计SaaS有条件访问应用程序。
Azure AD组织可以通过安全的自适应访问来保护身份,通过统一的身份管理来简化访问和控制,并确保遵循简化的身份管理。微软表示,它可以帮助用户抵抗99.9网络安全攻击%。
3.保护和加密数据
AWS为云中的静态数据增加一层安全层的能力。它提供了可扩展的加密功能,包括大多数AWS静态数据加密功能包括服务Amazon EBS、Amazon S3、Amazon RDS、Amazon Redshift、Amazon ElastiCache、AWS Lambda和Amazon SageMaker。
此外,还提供了包括AWS企业选择密钥管理服务AWS管理加密钥或完全控制自己的密钥;使用AWS clouddhsm基于硬件的专用加密密钥存储;并使用Amazon SQS加密服务器端(SSE)传输敏感数据的加密消息队列。
谷歌提供机密计算,它称之为“突破性”该技术可以在数据处理过程中加密正在使用的数据。机密计算环境将数据加密保存在内存和中央处理单元以外的其他地方。
机密计算组合中的第一个产品是机密虚拟机。谷歌利用各种隔离和沙箱技术作为其云基础设施的一部分,帮助其多租户架构安全Confidential VMs该技术通过提供内存加密提升到下一个层次,使用户能够进一步隔离云中的工作负荷。
另一种产品,云外密钥管理器(Cloud EKM),允许组织使用他们在支持的外部密钥管理合作伙伴中管理的密钥来保护谷歌云平台上的数据。该公司可以通过控制密钥的创建、位置和分发来维护第三方密钥的密钥来源。他们还可以完全控制谁可以访问他们的密钥。
Azure Key Vault加密密钥和秘密有助于保护云应用程序和服务。Azure Key Vault旨在简化密钥管理流程,使公司能够保持对访问和加密数据的密钥控制。
开发人员可以在几分钟内创建用于开发和测试的密钥,然后将其转移到生产密钥中。安全管理员可以根据需要授予和撤销密钥权限。
Microsoft Information Protection和Microsoft Information Governance帮助保护和治理Microsoft 365中的数据。
微软信息保护扩展了所有微软365应用程序和服务的数据丢失预防,以及Windows 10和Edge。Azure Purview为了更好地保护和管理这些数据,帮助组织了解结构化数据的位置。
4.应用安全
AWS Shield是一个托管DDoS用于保护亚马逊云运行的应用程序的保护服务。AWS Shield为应用程序的停机时间和延迟提供始终在线检测和自动内联缓解。AWS Shield有两层,标准和高级。
AWS所有客户都有权享受AWS Shield标准的自动保护。该公司表示,该标准可以抵抗网站或应用程序中最常见的网络层和传输层DDoS攻击。当Shield标准与Amazon CloudFront和Amazon Route 53一起使用时,客户可以全面保护,避免所有已知基础设施的攻击。
针对运行在Amazon EC2、Elastic Load Balancing、Amazon CloudFront、AWS Global Accelerator和Amazon Route 53资源上的应用程序的更高级别的保护,公司可以选择AWS Shield Advanced。
除了Shield Standard保护附带的网络层和传输层,Shield Advanced还为大规模复杂提供服务DDoS对攻击的额外检测和缓解,以及与云提供商的近实时可视性web应用防火墙AWS WAF集成。
谷歌WAAP (Cloud Web App and API Protection)为Web应用和API提供全面的威胁保护。Cloud WAAP基于谷歌保护公共服务免受web攻击应用程序,DDoS攻击、欺诈机器人活动和API同样的目标威胁技术。
Cloud WAAP它代表了从井保护到统一应用保护的转变,旨在提供更好的威胁预防、更高的运行效率和统一的可见性和遥测技术。谷歌表示,它还提供跨云和内部环境的保护。
Cloud WAAP结合三种产品,为威胁和欺诈提供全面保护。一个是谷歌Cloud Armor,它是GCP提供全球负载平衡基础设施web防火墙和anti-DDoS能力。另一个是Apigee API Management,它提供API生命周期管理功能,注重安全。reCaptcha Enterprise,它保护欺诈活动、垃圾邮件和滥用(如填写凭证、自动创建账户和攻击自动化机器人)。
GCP云安全扫描仪的另一个产品(Cloud Security Scanner)可以扫描和洞察漏洞web在坏人使用漏洞之前,允许公司采取行动。
微软Azure云应用安全是云应用安全代理,结合多功能可见性、数据旅行控制、用户活动监控和复杂分析,允许客户识别和打击微软和第三方云服务的所有网络威胁。
Cloud App security为信息安全专业人士设计Azure Active Directory、Microsoft Intune、Microsoft information Protection本地集成安全和身份工具,支持日志收集API各种部署方法,如连接器、反向代理等。
*原文: https://www.infoworld.com/article/3634111/cyber-security-in-the-public-cloud.html