AWS、Microsoft Azure和Google Cloud网络、基础设施、数据和应用程序安全功能的简要指南可以帮助企业防止网络攻击,保护基于云计算的资源和工作负荷。
企业在选择公共云服务提供商时最重要的考虑因素是他们提供的网络安全水平,这意味着他们的特点和能力来保护他们的网络和服务,并保护客户数据免受损坏和其他攻击。
世界三大云计算提供商AWS、Microsoft Azure和Google Cloud很明显,他们非常重视安全。如果他们提供的云服务存在广为人知的安全漏洞,此类事件可能会吓跑潜在客户,造成数百万美元的损失和合规处罚。
以下是世界三大云计算提供商在网络安全四个关键领域提供的服务。
1. 网络和基础设施安全
(1) AWS
AWS云平台提供多种安全功能和服务,旨在增强隐私,控制网络访问。它包括网络防火墙,允许客户创建私人网络,并控制访问实例或应用程序。企业可以AWS加密控制在服务传输过程中。
它还包括使用特殊或特殊连接的连接选项;分布式拒绝服务缓解技术可作为应用程序和内容交付策略的一部分;自动加密AWS公司在全球和区域网络安全设施之间的所有流量。
(2) Google Cloud
谷歌专门为安全设计和使用安全硬件,如定制安全芯片Titan。谷歌云平台(Google Cloud)使用它在其服务器和外围设备中提供安全基础。谷歌公司构建自己的网络硬件以提高安全性。这一切都集中在其数据中心设计中,其中包括多层物理和逻辑保护。
在网络方面,谷歌云平台设计并继续开发全球网络基础设施,以支持其云服务抵抗分布式拒绝服务(DDoS)等待攻击和保护其服务和客户。谷歌云平台的基础设施于2017年发生2.5Tbps的DDoS这是迄今为止报告的最高带宽攻击。
除了其全球网络基础设施的内置功能外,谷歌云平台还提供客户可以选择部署的网络安全功能。其中包括云负载平衡和Cloud Armor,这种网络安全服务可以抵抗DDoS攻击应用程序。
谷歌采取了一些安全措施来帮助确保传输中数据的真实性、完整性和隐私。当数据移动到不受公司控制的物理边界时,它会在一个或多个网络层中加密和认证传输中的数据。
(3) Microsoft Azure
Microsoft Azure运行在由微软管理和运营的数据中心。微软表示,这些地理位置分散的数据中心符合安全和可靠性的关键行业标准。数据中心由具有多年经验的微软运营商管理、监控和管理。
微软还对运营商进行背景验证检查,并根据背景验证水平限制访问应用程序、系统和网络基础设施。
Azure防火墙是一种基于云计算的网络安全服务,用于保护Azure虚拟网络资源。它是一个完全正常的防火墙,即服务,具有内置的高可用性和不受限制的可扩展性。Azure防火墙可以解密出口流量,进行所需的安全检查,然后在将流量转发到目的地之前重新加密流量。管理员可以允许或拒绝用户访问网站类别,如赌博网站和社交媒体。
2. 身份和访问控制
(1) AWS
AWS公司提供跨AWS用户访问策略的功能包括服务定义、实施和管理。AWS身份及访问管理(IAM),允许企业定义跨跨AWS单个用户账户的资源权限,以及AWS特权账户的多因素身份验证包括基于软件和硬件的身份验证器的选项。AWS IAM可用于授予员工和应用程序AWS管理控制台和AWS服务API使用现有身份系统等联合访问权限Microsoft Active Directory或其它合作伙伴产品。
(2) Google Cloud
谷歌的云计算身份和访问管理提供了几种管理身份和角色的方法。Cloud IAM允许管理员授权谁采取行动采取特定的资源,从而为谷歌云平台资源的集中管理提供完全的控制和可见性。此外,对于组织结构复杂、数百个工作组和许多项目的企业,Cloud IAM为简化合规流程提供了跨组织安全战略的统一视图。
还可以使用Cloud Identity,这是一种身份,即服务(IDaaS)可集中管理用户和组的产品。企业可以配置Cloud Identity加入谷歌和其他身份提供商之间的身份。谷歌云平台还提供Titan提供加密证明的安全密钥,证明用户正在与合法服务(即注册安全密钥的服务)互动,并拥有安全密钥。
最后,Cloud Resource Manager为谷歌云平台资源提供组织、文件夹、项目等资源容器。
(3) Microsoft Azure
Azure Active Directory(Azure AD)它提供企业身份服务Azure企业网络、内部部署资源和数千个服务SaaS单点登录、多重身份验证和条件访问应用程序。Azure AD通过安全的自适应访问来保护企业的身份,通过统一的身份管理来简化访问和控制,并确保简化的身份管理。微软表示,它可以帮助保护用户免受伤害99.9网络安全攻击%。
3. 数据保护和加密
(1) AWS
AWS它可以为云中的静态数据增加一层安全保护。它提供可扩展的加密功能,包括大多数AWS服务(包括Amazon EBS、Amazon S3、Amazon RDS、Amazon Redshift、Amazon ElastiCache、AWS Lambda和Amazon SageMaker)静态数据加密功能。
还提供包括AWS允许公司选择密钥管理服务AWS管理加密密钥或完全控制密钥;使用AWS Cloud HSM基于硬件的专用加密钥存储;以及使用Amazon SQS加密服务器端(SSE)加密消息队列传输敏感数据。
(2) Google Cloud
谷歌提供机密计算,被称为一种“突破性”该技术可以加密使用中的数据——在处理数据时。机密计算环境在内存和中央处理单元以外的其他地方加密数据。
机密计算产品组合中的第一个产品是机密虚拟机。谷歌利用各种隔离和沙盒技术作为其云计算基础设施的一部分,帮助确保其多租户架构的安全,机密虚拟机通过提供内存加密将其提升到一个新的水平,使用户能够进一步隔离云中的工作负荷。
另一种产品,云外密钥管理器(Cloud EKM),允许企业使用支持的外部密钥管理合作伙伴管理的密钥来保护谷歌云平台上的数据。企业可以保持第三方密钥的来源,并控制密钥的创建、位置和分发。他们还可以完全控制谁访问他们的密钥。
(3) Microsoft Azure
Azure Key Vault加密密钥和机密有助于保护云计算应用程序和服务。Azure Key Vault旨在简化密钥管理流程,使企业能够控制访问和加密数据的密钥。开发人员可以在几分钟内创建开发和测试的密钥,然后将其转移到生产密钥中。安全管理员可以根据需要授予和撤销密钥的权限。
Microsoft Information Protection和Microsoft Information Governance有助于保护和管理Microsoft 365中的数据。Microsoft Information Protection数据丢失保护扩展到所有Microsoft365应用程序和服务,以及Windows 10和Edge。Azure为了更好地保护和管理这些数据,权限帮助企业了解其结构化数据的位置。
4. 应用安全
(1) AWS
AWS Shield是一项托管DDoS可以保护服务AWS云平台上运行的应用程序。AWS Shield为应用程序的停机时间和延迟提供始终在线检测和自动内联缓解措施。AWS Shield有两个层次:标准和高级。
所有AWS客户有权享受AWS Shield Standard该公司表示,该标准可以为网站或应用程序防御最常见的网络层和传输层DDoS攻击。当Shield Standard与Amazon Cloud Front和Amazon Route 53一起使用时,客户将对所有已知基础设施进行全面保护。
为了针对在Amazon EC2、Elastic Load Balancing、Amazon CloudFront、AWS Global Accelerator和Amazon Route 53资源上应用程序的攻击提供了更高层次的保护,企业可以选择AWS Shield Advanced。除了Shield Standard除保护附带网络层和传输层外,Shield Advanced还针对大规模复杂性DDoS与云计算提供商的攻击提供了额外的检测和缓解,近乎实时的攻击可见性Web防火墙的应用程序AWS WAF的集成。
(2) Google Cloud
Google Cloud网络应用和API防护(WAAP)网络应用和API提供全面的威胁保护。Cloud WAAP以谷歌为基础,保护其面向公众的服务免受Web攻击应用程序,DDoS攻击、欺诈性机器人活动和API同样的目标威胁技术。
Cloud WAAP它代表了从孤立应用保护到统一应用保护的转变,旨在提供改进的威胁预防、更高的运行效率和集成的可见性和遥测功能。谷歌表示,它还提供跨云平台和内部部署环境保护。
Cloud WAAP结合三种产品,对威胁和欺诈提供全面保护。Google Cloud Armor,它是谷歌全球负荷平衡基础设施的一部分Web防火墙及应用程序DDoS功能。另一个是Apigee API Management,它提供API生命周期管理功能,注重安全。reCaptcha Enterprise,它可以防止欺诈、自动账户创建、自动机器人攻击等欺诈活动、垃圾邮件和滥用。
谷歌云平台的另一个产品Cloud Security Scanner可以扫描漏洞,深入了解Web在不良行为者使用之前,允许企业采取行动。
(3) 微软Azure
Microsoft Cloud App Security是云应用安全代理,结合多功能可见性、数据传输控制、用户活动监控和复杂分析,使客户能够识别和处理所有问题Microsoft以及第三方云服务中的网络威胁。Cloud App Security专为信息安全专业人员设计安全和身份工具(包括Azure Active Directory、Microsoft Intune、Microsoft information Protection)进行原生集成,并支持各种部署模式,包括日志收集、API连接器和反向代理。