一切責任都在甲方？三大公有云安全性分析

通常CISO在評估大型云服務提供商 (CSP) 的安全性時，需要將問題分為兩部分：哪家云服務商在保護自身云基礎設施方面做得最好，哪家在保護客戶的基礎設施（包括數據和應用程序）方面做得最好，這種“云安全二元論”導致了飽受爭議的“責任共擔模型”的產生。

一切責任都在甲方

“一切責任都在甲方”，是業界對公有云“安全責任共擔模型”的調侃，同時也表明很多企業CISO在選擇公有云時，對各大平臺的云安全能力和發生網絡安全事件時的責任共擔模式并不十分了解。

公有云安全基于責任共擔模型，將云服務提供商的角色（保護平臺）與客戶的角色（保護其在云中的資產）一刀切開，涇渭分明。這聽起來不錯，但在實踐中，當CISO與某一個云供應商打交道時，責任共擔模型可能會很棘手，而且在多云世界中難度還會成倍增加。

正如資深安全專家安迪·埃利斯（Andy Ellis）所說，“責任共擔模型看起來非常清晰和簡單，但它根本經不起檢查。” 他指出，企業用戶很難理清云平臺與在其上運行的應用程序之間的關聯。“現實情況是，客戶如何配置云服務對應用程序的安全至關重要，而客戶出事的方式非常之多。”

一些云計算巨頭已經認識到了責任共擔模型的缺陷給客戶造成的困擾和擔憂，并試圖通過改進來吸引更多的客戶。

那么CISO如何選擇公有云服務商呢？近日，Securosis首席執行官Richard Mogull深入分析和對比了三大云服務提供商（亞馬遜 AWS、微軟 Azure 和谷歌云）的安全責任共擔模型的改進，以及各自的云安全特色功能。文中很多評估方法也適用于其他云服務商的選型。 

本文的分析基于以下三個基本出發點：

• 雖然三巨頭傾向于將其內部流程和程序保密，但它們都在保護數據中心的物理安全 、防御內部攻擊以及保護運行應用程序和開發平臺的虛擬化層方面做得非常出色。
• 云本質上是一種新型的數據中心，每個CSP在技術層面上都有根本的不同。“沒有快速解決辦法。每個提供商的實際實施細節都會有所不同。” 組織的最佳選擇是投資培訓員工，以便他們獲得如何在這些云環境中操作的專業知識。
• 除了每個供應商平臺的具體細節之外，Mogull認為云計算市場份額與是否擁有最廣泛的第三方工具、最深入的知識庫和最大的社區相關。根據分析公司Canalys對2022年第一季度云服務收入的分析，AWS擁有33%的市場份額，Azure以21%位居第二，谷歌以8%位居第三。

谷歌云：打造命運共同體

在重新定義責任共擔模式方面，Google的口號最具轟動效應。Google創造了一個新術語：“共同命運”（shared fate）。

根據Google首席信息安全官Phil Venables的說法，“責任共擔模型在誰處理威脅檢測、配置最佳實踐以及安全違規和異常活動警報的某些方面產生了‘不確定性’。” 共同命運代表了“在云服務提供商與其客戶之間建立更緊密合作關系的下一步演進，以便每個人都能更好地應對當前和日益增長的安全挑戰，同時仍能兌現數字化轉型的承諾。”

“共同命運”的功能包括旨在確保安全基礎的默認配置、幫助客戶更輕松地配置產品和服務的藍圖以及安全策略層次結構，以便在整個基礎架構中自動啟用策略意圖。此外，Google還有一個計劃，將云客戶與為谷歌云工作負載提供專業保險的保險公司聯系起來，提供獨特的風險管理組件。

在比較三巨頭時，Google處于一個有趣的位置。Mogull指出，谷歌云“建立在Google的長期工程和全球運營之上，令人印象深刻。”

然而，Mogull指出，Google僅占據8%的云計算市場份額是一個問題，這意味著具有深厚谷歌云經驗的安全專家較少，社區的健壯性和工具也較少。他說，總體而言，谷歌云“不如AWS成熟”，也沒有同樣廣泛的安全功能。

Google正在解決這個問題，它最近宣布了一種被稱為“隱形安全”的東西。這個想法是Google將繼續擴展其云原生安全產品，以便客戶可以減少對第三方工具的依賴。

一個例子是Google的Cloud IDS，這是一種托管入侵檢測系統，企業只需單擊幾下即可部署該系統，以保護自己免受惡意軟件、間諜軟件、命令和控制攻擊以及其他基于網絡的威脅。

微軟Azure重點解決多云安全問題

微軟通過發布Microsoft Defender for Cloud開始努力應對保護多云環境的挑戰，它提供跨Azure、AWS和Google Cloud的云安全狀態管理(CSPM)和云工作負載保護(CWP) 。

這些工具的目標是找到跨云配置的薄弱環節，幫助加強整體安全態勢，并保護工作負載免受跨多云和混合環境不斷演變的威脅。Microsoft Defender for Cloud涵蓋虛擬機、容器、數據庫、存儲和應用程序服務。

但是，責任共擔模型仍然存在于Azure云中。客戶需要對其數據和身份、本地資源、端點、帳戶和訪問管理的安全負責。

Mogull表示，Azure只是“在成熟度方面比AWS更粗糙一些”，尤其是在一致性、文檔以及許多服務默認使用不太安全的配置方面。但Azure確實有一些優勢，Azure Active Directory可以鏈接到企業Active Directory，為授權和權限管理提供單一事實來源，這意味著可以從單個目錄管理所有內容。Mogull說，Azure的身份和訪問管理層次分明，開箱即用，并且比AWS更易于管理。

就市場勢頭而言，Mogull表示“微軟正在強勢崛起”，因為它知道如何利用其與企業客戶的現有關系。然而，他警告說，企業應該考慮到微軟并沒有像“純血”的安全供應商那樣將安全融入DNA中。

AWS提供廣泛的安全工具集

作為歷史最悠久、最具主導地位的云服務供應商，AWS在知識和工具方面具有優勢。“更容易獲得答案、尋求幫助和找到支持的工具。這是AWS平臺整體成熟度的基礎，”Mogull說。

AWS擁有龐大的第三方供應商市場，并提供各種附加產品以及咨詢、咨詢、培訓和認證服務。Marks指出，AWS “對他們擁有的功能進行了很多思考”。例如Inspector，這是一項持續掃描Amazon EC2實例和容器映像以查找軟件漏洞和意外網絡暴露的服務。

Amazon GuardDuty是一項威脅檢測服務，可持續監控AWS賬戶和工作負載是否存在惡意活動，并提供詳細的安全調查結果以進行可見性和補救。

這些附加服務和其他服務都屬于AWS Security Hub的范疇，后者從AWS服務和第三方合作伙伴收集安全數據，并提供客戶安全狀態的綜合視圖。

Mogull 指出：“AWS的兩個最出色的安全功能是對安全組（防火墻）和精細IAM的出色實施。” 但是，除非明確啟用訪問權限，AWS安全性仍然主要基于對服務彼此的隔離。Mogull說，從安全角度來看，這很有效，但代價是使企業規模化的管理變得更加困難，并且使大規模管理IAM變得更加困難。“盡管有這些局限，AWS通常是最好的起點，在這里您遇到的安全問題最少。”