盘点AWS、GCP及Microsoft Azure中的网络安全服务!
新钛云服已为您服务1298天
本指南介绍了AWS、Microsoft Azure和谷歌Cloud提供的网络、基础设施、数据和应用程序安全功能,以防止网络攻击,保护基于云的资源和工作负载。
在选择公共云服务提供商时,企业面临的最大考虑是它们提供的网络安全水平,这意味着它们为保护自己的网络和服务,以及保护客户数据安全、免受入侵和其他攻击而设置的功能和能力。
三家主要的云服务提供商——amazon Web Services (AWS)、谷歌云平台(GCP)和微软azure——都非常重视安全性,原因显而易见。一个广为人知的安全漏洞最终被归咎于他们的服务,可能会吓跑无数的潜在客户,造成数百万美元的损失,并可能导致合规处罚。
以下是三大云服务提供商在网络安全的四个关键领域提供的服务。
1
网络和基础设施安全
AWS提供了一些安全功能和服务,旨在增加隐私和控制网络访问。这些包括网络防火墙,允许客户创建私有网络并控制对实例或应用程序的访问。公司可以在AWS服务的传输过程中控制加密。
还包括启用私人或专用连接的连接选项;可作为应用程序和内容交付战略的一部分应用的分布式拒绝服务缓解技术;以及自动加密AWS全球和区域网络上AWS安全设施之间的所有流量。
谷歌GCP专门为安全设计并实现了硬件,比如Titan,这是一种定制的安全芯片,GCP使用它来建立其服务器和外围设备信任的硬件根。谷歌建立自己的网络硬件来提高安全性。这一切都体现在它的数据中心设计中,其中包括多层物理和逻辑保护。
在网络方面,GCP已经设计并继续发展全球网络基础设施,以支持其云服务抵御分布式拒绝服务(DDoS)等攻击,并保护其服务和客户。2017年,该基础设施吸收了2.5 Tbps的DDoS攻击,这是迄今为止报告的最高带宽攻击。
除了其全球网络基础设施的内置功能,GCP还提供网络安全功能,客户可以选择部署。这些服务包括云负载平衡和云防护,云防护是一种网络安全服务,可以防御DDoS和应用程序攻击。
谷歌采用了一些安全措施来帮助确保传输中的数据的真实性、完整性和私密性。当数据移动到不受谷歌控制的物理边界之外时,它在一个或多个网络层上对传输中的数据进行加密和身份验证。
微软Azure运行在由微软管理和运营的数据中心中。据该公司称,这些地理上分散的数据中心符合安全与可靠性的关键行业标准。数据中心由具有多年经验的微软运营人员管理、监视和管理。
微软还对操作人员进行后台验证检查,并根据后台验证的级别限制对应用程序、系统和网络基础设施的访问。
Azure Firewall是一个托管的、基于云的网络安全服务,保护Azure虚拟网络资源。它是一个具有内置高可用性和无限制可伸缩性的全状态防火墙服务。
Azure Firewall可以解密出站流量,执行所需的安全检查,然后在将流量转发到目的地之前对其重新加密。管理员可以允许或拒绝用户访问网站类别,如赌博、社交媒体或其他。
2
身份和访问控制
AWS提供跨AWS服务定义、执行和管理用户访问策略的功能。其中包括AWS身份和访问管理(IAM),它允许公司定义个人用户帐户与AWS资源的权限,以及AWS多因素认证的特权帐户,其中包括基于软件和基于硬件的认证选项。
AWS IAM可用于授予员工和应用程序对AWS管理控制台和AWS服务api的联合访问权,使用现有的身份系统,如Microsoft Active Directory或其他合作伙伴产品。
AWS还提供AWS目录服务(AWS Directory Service),该服务允许组织与企业目录进行集成和联合,以减少管理开销并改善最终用户体验,以及AWS单点登录(SSO),该服务允许组织管理用户对AWS中所有账户的访问和权限。
谷歌GCP的云身份和访问管理提供了几种方式来管理谷歌云中的身份和角色。首先,Cloud IAM允许管理员授权谁可以对特定资源采取行动,提供完全控制和可见性,以集中管理GCP资源。此外,对于具有复杂组织结构、数百个工作组和许多项目的企业,Cloud IAM提供了对整个组织的安全策略的统一视图,内置审计以简化遵从流程。
云身份(Cloud Identity)也是可用的,这是一种身份即服务(idas),可以集中管理用户和组。公司可以配置云身份来联合谷歌和其他身份提供商之间的身份。GCP还提供Titan安全密钥,提供密码证明,用户正在与合法服务(即他们向其注册了安全密钥的服务)进行交互,并且他们拥有安全密钥。
最后,云资源管理器提供了组织、文件夹和项目等资源容器,允许组织对GCP资源进行分组和分层组织。
微软的Azure Active Directory (Azure AD)是一种企业身份识别服务,提供单点登录、多因素认证和对Azure服务、企业网络、预部署资源和数以千计的SaaS应用程序的有条件访问。
Azure AD使组织能够通过安全的自适应访问来保护身份,通过统一的身份管理来简化访问和简化控制,并确保遵循简化的身份治理。微软表示,它可以帮助用户抵御99.9%的网络安全攻击。
3
数据保护和加密
AWS提供了为云中的静止数据添加一层安全层的能力。它提供了可扩展的加密功能,包括大多数AWS服务中的静态数据加密功能,包括Amazon EBS、Amazon S3、Amazon RDS、Amazon Redshift、Amazon ElastiCache、AWS Lambda和Amazon SageMaker。
此外,还提供了灵活的密钥管理选项,包括AWS密钥管理服务,该服务让企业选择是让AWS管理加密密钥,还是完全控制自己的密钥;使用AWS clouddhsm的专用、基于硬件的加密密钥存储;并使用Amazon SQS的服务器端加密(SSE)加密消息队列来传输敏感数据。
谷歌提供机密计算,它称之为“突破性”技术,可以对正在使用的数据进行加密,也就是说,在数据处理过程中。机密计算环境将数据加密保存在内存和中央处理单元之外的其他地方。
机密计算组合中的第一个产品是机密虚拟机。谷歌已经使用了各种隔离和沙箱技术作为其云基础设施的一部分,以帮助其多租户架构安全,而Confidential VMs通过提供内存加密将这一技术提升到下一个层次,以便用户可以进一步隔离云中的工作负载。
另一个产品,云外部密钥管理器(Cloud EKM),允许组织使用他们在支持的外部密钥管理合作伙伴中管理的密钥来保护谷歌云平台中的数据。公司可以通过控制密钥的创建、位置和分发来维护第三方密钥的密钥来源。他们还可以完全控制谁可以访问他们的密钥。
Azure Key Vault有助于保护云应用程序和服务使用的加密密钥和秘密。Azure Key Vault旨在简化密钥管理流程,并使公司能够维护对访问和加密数据的密钥的控制。
开发人员可以在几分钟内创建用于开发和测试的密钥,然后将它们迁移到生产密钥。安全管理员可以根据需要授予和撤销密钥权限。
Microsoft Information Protection和Microsoft Information Governance帮助保护和治理Microsoft 365中的数据。
微软信息保护扩展了所有微软365应用程序和服务的数据丢失预防,以及Windows 10和Edge。Azure Purview帮助组织了解结构化数据的位置,以便更好地保护和管理这些数据。
4
应用安全
AWS Shield是一个托管DDoS保护服务,用于保护在亚马逊云上运行的应用程序。AWS Shield提供始终在线检测和自动内联缓解,旨在最大限度地减少应用程序停机时间和延迟。AWS Shield有两层,标准和高级。
AWS的所有客户都有权享受AWS Shield标准的自动保护。该公司表示,该标准可以抵御针对网站或应用程序的最常见的网络层和传输层DDoS攻击。当Shield标准与Amazon CloudFront和Amazon Route 53一起使用时,客户可以得到全面的保护,免受所有已知的基础设施攻击。
对于针对运行在Amazon EC2、Elastic Load Balancing、Amazon CloudFront、AWS Global Accelerator和Amazon Route 53资源上的应用程序的更高级别的保护,公司可以选择AWS Shield Advanced。
除了Shield Standard附带的网络层和传输层保护,Shield Advanced还提供针对大型复杂DDoS攻击的额外检测和缓解,对攻击的近实时可视性,并与云提供商的web应用防火墙AWS WAF集成。
谷歌WAAP (Cloud Web App and API Protection)为Web应用和API提供全面的威胁保护。Cloud WAAP基于谷歌用于保护面向公众的服务免受web应用程序攻击、DDoS攻击、欺诈机器人活动和API目标威胁的相同技术。
Cloud WAAP代表了从竖井保护到统一应用保护的转变,旨在提供更好的威胁预防、更高的运营效率以及统一的可见性和遥测技术。谷歌说,它还提供跨云和内部环境的保护。
Cloud WAAP结合了三种产品,提供针对威胁和欺诈的全面保护。一个是谷歌Cloud Armor,它是GCP全球负载平衡基础设施的一部分,提供web应用防火墙和anti-DDoS能力。另一个是Apigee API Management,它提供API生命周期管理功能,重点关注安全性。第三种是reCaptcha Enterprise,它提供了对欺诈活动、垃圾邮件和滥用(如凭证填充、自动创建帐户和来自自动化机器人的攻击)的保护。
GCP的另一款产品云安全扫描器(Cloud Security Scanner)可以扫描漏洞,并洞察web应用程序的漏洞,允许公司在坏人利用漏洞之前采取行动。
微软Azure云应用安全是一个云应用安全代理,它结合了多功能可见性、对数据旅行的控制、用户活动监控和复杂的分析,允许客户识别和打击所有微软和第三方云服务的网络威胁。
Cloud App security为信息安全专业人士设计,与Azure Active Directory、Microsoft Intune、Microsoft information Protection等安全与身份工具原生集成,支持日志收集、API连接器、反向代理等多种部署方式。
*原文: https://www.infoworld.com/article/3634111/cyber-security-in-the-public-cloud.html
*本文部分图片源于网络,如有侵权请联系删除
了解新钛云服
新钛云服荣膺第四届FMCG零售消费品行业CIO年会「年度数字化服务最值得信赖品牌奖」
新钛云服三周岁,公司月营收超600万元,定下百年新钛的发展目标
当IPFS遇见云服务|新钛云服与冰河分布式实验室达成战略协议
新钛云服正式获批工信部ISP/IDC(含互联网资源协作)牌照
深耕专业,矗立鳌头,新钛云服获千万Pre-A轮融资
新钛云服,打造最专业的Cloud MSP+,做企业业务和云之间的桥梁
新钛云服一周年,完成两轮融资,服务五十多家客户
上海某仓储物流电子商务公司混合云解决方案
往期技术干货
Kubernetes扩容到7,500节点的历程
低代码开发,全民开发,淘汰职业程序员!
国内主流公有云VPC使用对比及总结
万字长文:云架构设计原则|附PDF下载
刚刚,OpenStack 第 19 个版本来了,附28项特性详细解读!
Ceph OSD故障排除|万字经验总结
七个用于Docker和Kubernetes防护的安全工具
运维人的终身成长,从清单管理开始|万字长文!
OpenStack与ZStack深度对比:架构、部署、计算存储与网络、运维监控等
什么是云原生?
IT混合云战略:是什么、为什么,如何构建?
点
摘要: 使用 Azure,你可以为内部部署 SharePoint 服务器场创建灾难恢复环境.本文介绍如何设计和实施此解决方案. 观看 SharePoint Server 2013 灾难恢复概述视频 当 ... 注:下列步骤并不一定适用所有场景,提供思路,请灵活应用 我们在使用Microsoft Azure 中Windows 虚拟机,有时会发生错误打开防火墙或一些管家软件错误的关闭了"远程桌面 ... 聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 Intezer 公司的研究员在 Microsoft Azure 中发现了两个漏洞.它们位于流行的云服务 Azure App Servi ... 今天在azure中搭建了个虚机,虚机的IIS上搭建了个测试网站,然后在虚机内可以正常访问,但是在外部internet却无法访问. 查看了azure的帮助文档,网上也搜了,得到的答案都是设置终结点,az ... 本文包括了以下几点内容: 什么是Azure云存储服务? 云存储服务分类 云存储服务的优势 什么是Azure云存储服务? Azure 云存储服务可以说是Azure 上最重要的SAAS服务了. 在Azur ... 微软 azure 在本文中,我将通过展示如何在Microsoft Azure Web Apps for Containers中执行操作来跟踪有关在Oracle Cloud中运行Eclipse Micr ... 在本文中,我将通过展示如何在Microsoft Azure Web Apps for Containers中执行操作来跟踪有关在Oracle Cloud中运行Eclipse MicroProfile应 ... 不久之前,微软公司宣布了 Microsoft Azure Media Services 实时直播服务 ( Live ) 开始进入技术预览阶段,公开接受用户测试. 而这些实时直播服务其实早已被 NBC ... sql azure 语法 After receiving new additions to backup and restore capabilities of SQL Servers like fi ...盘点AWS、GCP及Microsoft Azure中的网络安全服务!相关推荐
最新文章
热门文章