BlackHat 2018 | 云服務(wù)安全功能比較:亞馬遜vs谷歌vs微軟
前言
亞馬遜網(wǎng)絡(luò)服務(wù)、谷歌云平臺和微軟Azure最近都加強了威脅情報的推送,來幫助用戶辨別和應(yīng)對針對公共云平臺的惡意活動。這些平臺提供了哪些差異化服務(wù),又是如何保障云安全的?研究人員在Black Hat 2018大會上發(fā)表了對這三家主流云平臺安全功能的研究,并就優(yōu)缺點進行了討論。
概述
專注于云基礎(chǔ)架構(gòu)的獨立安全顧問Brad Geesaman在本屆Black Hat 2018大會上發(fā)表了有關(guān)云安全的演講,主題為“偵測云用戶的惡意行為:了解全新的平臺功能”,通過比較亞馬遜、谷歌、微軟這三家主流云平臺在保障安全方面的差異化特性、優(yōu)勢和不足,為云平臺用戶在選擇云平臺時提供了有力的參考。
云服務(wù)市場的競爭日趨白熱化,對于剛進入這個領(lǐng)域的初創(chuàng)公司來說,數(shù)據(jù)管控功能可能要最優(yōu)先考慮的重點,然后將一些非核心功能外包出去。沒錯就是外包,安全這一塊有時也會交到第三方手里。現(xiàn)在,越來越多的基礎(chǔ)應(yīng)用依托于云端,如果云端發(fā)生了什么問題,那后果將會很嚴重。
在維護云環(huán)境網(wǎng)絡(luò)安全時,不能再禁錮于傳統(tǒng)的思想和方法,當(dāng)要處理的對象都變成API時,老方法都不奏效。云平臺的可擴展性一方面時優(yōu)勢,另一方面也會將小問題變成大麻煩。黑客無需直接攻擊云平臺,只要通過釣魚網(wǎng)站、惡意軟件、后門漏洞或者密碼猜解的方式竊取用戶的登陸憑據(jù),然后就可以在企業(yè)內(nèi)部云平臺上進行一系列惡意操作。這樣的情況經(jīng)常發(fā)生,不知不覺中用戶掌握的密鑰就可能落入別人的手中。
云服務(wù)市場還很年輕,目前沒有絕對的一家獨大,從提供的安全服務(wù)來看也是各有千秋。因此,在選購云服務(wù)時,用戶要搞清楚以下幾點:它使用哪些數(shù)據(jù)源、如何操作數(shù)據(jù)、數(shù)據(jù)的透明度幾何、服務(wù)中未涵蓋的內(nèi)容有哪些、部署需要哪些條件、成本結(jié)構(gòu)、軟件集成以及定制和驗證功能。
三大廠商比較
以下是Brad對亞馬遜、谷歌和微軟提供的云服務(wù)安全功能做的比較,摘錄其中一部分:
1. Microsoft Azure
Azure安全中心是Azure儀表板版塊的核心內(nèi)容之一,于2015年秋季首次發(fā)布,2016年春季全面上市,并在2017年夏季增加了威脅檢測功能。旨在提供安全管理和威脅檢測支持,并部署針對混合云各功能模塊的安全策略,微軟對每個系統(tǒng)收取15美元/月的服務(wù)費。
Azure安全中心采用的引擎能夠自動調(diào)整問題的優(yōu)先級,讓用戶能夠?qū)⒆⒁饬Ψ旁谥攸c問題上,同時還支持自定義警告規(guī)則、文件完整性監(jiān)控、REST API和第三方工具集成,可幫助用戶管理端點設(shè)備。Microsoft Azure的優(yōu)勢在于混合云,它支持Windows/Linux代理,加上Azure Log Analytics服務(wù),所有代理日志都是可查。
2. 亞馬遜網(wǎng)絡(luò)服務(wù)
亞馬遜在2013年春季發(fā)布了CloudTrail,2015年夏季發(fā)布AWS VPC Flow日志,2017年冬季發(fā)布GuardDuty。GuardDuty服務(wù)提供威脅檢測支持,以便用戶可以持續(xù)監(jiān)控AWS賬戶和工作負載。它提供30天免費試用,在北美,每GB流量的VPC/DNS服務(wù)售價為0.25至1美元,每百萬Cloudtrail活動優(yōu)惠價4美元。
GuardDuty監(jiān)控來自CloudTrail的事件、VPC數(shù)據(jù)日志和DNS日志,支持基收錄信息源以及惡意IP地址和域,用戶可以設(shè)置自定義黑名單和白名單。此外,GuardDuty還支持集中管理AWS賬戶,無需讓開發(fā)或運營團隊摻合進來即可檢測后門、惡意活動、挖礦、木馬、嗅探、滲透等威脅。它的優(yōu)勢是簡單的設(shè)置、清晰的檢測列表和報告,眾多合作伙伴形成的優(yōu)良生態(tài)體系以及針對多種類型API的檢測。
3. 谷歌云平臺
谷歌云平臺(GCP)的安全防護功能仍處于早期階段。它可以檢測僵尸網(wǎng)絡(luò)、挖礦、異常重啟和可疑網(wǎng)絡(luò)流量,并將信息發(fā)送至用戶界面。
它的優(yōu)勢是不會影響任何正在運行的工作流程以及為合作伙伴解決方案提供的API和界面。它還是面向框架的,可處理橫跨多個服務(wù)的安全事件。
總結(jié)
這三家主流云平臺要改進的地方還有很多:
- 在威脅檢測方面的可見性需要重點關(guān)注;
- 從信息整合的角度來看,收集、分析、處理和轉(zhuǎn)發(fā)安全事件各個流程也需要進行改進。
如果安全運維人員在處理問題時,連偵測的情況、對象的信息都不能清晰掌握,如何進行針對性的操作呢。在快速發(fā)展的云服務(wù)市場,或許誰能抓住這幾個點,誰就能脫穎而出,獲得青睞。
