[[410075]]

每個云平臺提供給客戶用以保護其云資產的安全工具和安全功能都不一樣。

公有云安全建立在共擔責任概念的基礎之上：大型云服務提供商交付安全的超大規模環境，但保護推上云端的一切是客戶自己的責任。對企業而言，這種安全責任分離在采用單一云供應商時已經夠麻煩了，但若采用多云環境，甚至還會更加復雜棘手。

CISO面臨的難題是確定云服務提供商三巨頭——亞馬遜AWS、Microsoft Azure和Google Cloud，在提供安全彈性云平臺的方式上有何差異。哪家提供商可以提供最好的原生工具來保護云資產?你怎么說服專家同意所有超大規模服務提供商都能很好地保護自家云平臺?畢竟，交付安全的環境可是他們業務模型的重中之重。不同于預算受限的企業，云服務提供商似乎擁有無限的資源。云服務提供商具備技術專業知識，而且，正如企業戰略集團(ESG)高級分析師Doug Cahill所言，“考慮到他們全球運營，擁有無數可用區域、存在點，觸角遍及全世界，他們每天都能看到無數惡意活動，可以在此可見性水平上構筑自身強大的防御。”

Securosis分析師兼首席執行官Richard Mogull稱，盡管三巨頭傾向于保密內部過程和程序，但在保障其數據中心物理安全、抵御內部人攻擊和保護支撐應用及開發平臺運行的虛擬層安全方面，三巨頭的表現非常棒。

這三家都通過API暴露了更多的服務，并且試圖減少共擔責任模型相關的混亂或摩擦。Mogull稱：“這些平臺中每一個都提供了調用接口。企業的問題是弄清楚具體代碼行在哪里，以及跨多個云平臺廣泛部署安全。”

然而，三巨頭之間還是存在一些差異，這與其相對市場份額有關。AWS占有的市場份額最大，為31%。Azure正在努力趕上，目前以20%的市場份額位居第二。根據分析公司Canalys發布的2020年云服務營收分析報告，新參者谷歌的市場占有率為7%，以較大差距位居第三。

Amazon Web Services(AWS)

AWS是資歷最久也最成熟的云服務提供商。Mogull稱：“作為占據統治地位的提供商，AWS最大的優勢是掌握著大量知識與工具，可以相對容易地獲得答案，找到幫助和支持工具。這些全都建立在該平臺的整體成熟度和規模基礎上。”

亞馬遜共擔責任的安全模型聲明該公司負責底層云基礎設施的安全，而訂閱用戶負責保護云上部署的工作負載。具體講，客戶負責：

• 保護客戶數據
• 保護平臺、應用和操作系統
• 實現身份與訪問管理(IAM)
• 配置防火墻
• 加密客戶端數據、服務器端文件系統和網絡流量

AWS為客戶提供了大量可用服務：

• API活動監測· 基礎威脅情報
• Web應用防火墻(WAF)
• 數據防泄漏
• 漏洞評估
• 用于自動化的安全事件觸發器

AWS在默認安全配置方面也做得很好。

Mogull補充道，“AWS安全功能中最好的兩項是他們尤為出色的安全組(防火墻)實現和細粒度的IAM。”不過，AWS安全基于隔離服務，除非顯式授權，否則服務之間無法相互訪問。從安全的角度考慮，這種方式運行良好，但代價是讓企業范圍內的管理更難了，而且更難以大規模管理IAM。“盡管存在這些局限，AWS通常還是云平臺最佳選擇，選用AWS可以規避大多數安全問題。”

Microsoft Azure

Microsoft Azure也采用類似的共擔責任模型例如，在基礎設施即服務(IaaS)場景中，客戶負責數據分類與審計、客戶端與端點防護、身份與訪問管理、應用級和網絡級控制。Mogull稱，相對于AWS，Azure只是在成熟度上稍欠缺一些，尤其是在一致性、文檔方面，而且很多服務的默認配置確實不夠安全。

但是，Azure也具有一些優勢。Azure Active Directory可連接企業Active Directory，從而為授權和權限管理提供真實單一來源，也就是說，所有事務都可以通過單一目錄加以管理。其間權衡在于，管理更加方便、更具一致性，但環境之間的隔離和相互保護程度比使用AWS更低了。另一項權衡折衷是：Azure的身份與訪問管理從一開始就是層次化的，比AWS容易管理，但AWS的粒度更細。

對于企業用戶而言，Azure還具有另外兩項重要功能：默認情況下，活動日志涵蓋整個企業各個區域的控制臺和API活動。此外，Azure Security Center管理控制臺覆蓋整個企業，且可以配置，以便本地團隊能夠管理自己的警報。

Google Cloud

Googl Cloud建立在谷歌令人印象深刻的長期工程與全球運營基礎之上。谷歌提供的堅實內置安全工具包括：

• 云數據防泄漏
• 密鑰管理
• 資產清單
• 加密
• 防火墻
• Shielded VMs

Google Security Command Center提供集中式可見性與控制，使客戶能夠發現錯誤配置與漏洞、監測合規情況和檢測威脅。通過并購Stackdriver(如今已經歷拓展，并更名為Google Cloud Operations)，谷歌推出了一流的監測與日志分析產品。谷歌還通過其BeyondCorp Enterprise零信任平臺提供身份與訪問控制措施。

然而，谷歌7%的市場份額是個問題，因為具有深厚Google Cloud經驗的安全專家較少，社區也就不那么茁壯，可用工具數量也少。但是Google Cloud提供強大的集中式管理和默認安全配置，這些都是很重要的考慮因素。總體上，Google Cloud不像AWS那么成熟，也不具備同樣的安全功能廣度。

內部培訓和技能是關鍵

超大規模服務提供商為企業提供最佳實踐、指南、原生控制、工具、流量日志可見性，甚至能向企業警示存在錯誤配置的情況，但“訂閱用戶若想保護置于云端的所有資產，就必須擔負起遵從最佳實踐、響應警報和采取恰當控制措施的責任。”

這意味著企業要承擔持續的責任，包括謹慎管理訪問控制、監測云環境安全威脅、定期執行滲透測試，以及就深入培訓企業員工，使其掌握云安全最佳實踐。

在每個公有云上建立起內部專業知識非常重要。實現云安全時企業會犯的三個重大錯誤是：

(1) 認為云安全與當前在自家數據中心或私有云上所做的安全實踐相差無幾。但實際上，每個平臺都有本質的不同。表面上看起來事情都是做熟了的那些，但往深里看卻又不盡然。企業必須建立起對所用技術平臺的深刻理解，如此才能在云端延續成功。沒有相應的技術和認知，就沒有成功的機會。

(2) 在準備好之前就遷移到多云環境。如果公司想要遷移到三個云上，那必須先針對全部三個云環境發展出相應的內部專業知識。遷移到云端的步伐最好不要太快，在跳轉到下一個云前應先在一個云上積累夠專業知識。

(3) 不關注治理。大多數與云環境相關的數據泄露都涉及憑證遺失或被盜，最終可以歸結為治理失敗問題。

Cahill agrees. 將數據中心外包給第三方存在一定程度的抽象。你實際上是通過與API交互來獲取服務。其中企業犯的幾類主要錯誤就是錯誤配置云服務、錯誤配置對象存儲(打開S3存儲桶)和在公開存儲庫中留下憑證或API密鑰。而云控制臺往往是由弱口令而非多因素身份驗證防護。

欲保護云端企業數據，不妨參考如下建議：

• 精通云安全共擔責任模型;理解各條原則都是什么。
• 重視強化云配置。
• 實現人員和非人員云身份最小權限訪問。
• 實現自動化，使安全跟上DevOps的速度;自動化整個應用生命周期的安全集成。
• 確保安全實現可跨團隊重復。大型企業具有多個項目團隊，各自都實現了自己的安全控制。
• 采取自上而下方法實現所有項目團隊間安全策略統一。