雖然主要云計算供應(yīng)商提供的安全工具很方便，但這對一些用戶來說并不意味著總是正確的選擇。因此需要了解如何決定何時應(yīng)選擇使用第三方安全工具。

[[345313]]

隨著網(wǎng)絡(luò)攻擊的增加，對于大多數(shù)組織來說，云安全成為頭等大事也就不足為奇了。但是，組織的IT團(tuán)隊通常很難選擇正確的策略，因為有很多工具和服務(wù)可以幫助保護(hù)其環(huán)境。

主要有兩種可用于保護(hù)云計算工作負(fù)載的服務(wù)：云計算供應(yīng)商提供的云原生安全工具，以及來自其他公司的第三方安全工具或者在某些情況下提供的開放源代碼項目。

但是哪種類型的云安全工具是最好的?其答案很大程度上取決于特定的云計算架構(gòu)以及組織的安全需求的性質(zhì)。

云原生安全工具

大多數(shù)公共云提供商都提供幾種類型的云原生安全工具，每種工具都旨在滿足不同的安全需求。但是由用戶自行決定是否可以滿足其特定的安全要求。

在組織確定云原生安全工具是否適合其工作負(fù)載之前，需要探索可從AWS、谷歌云平臺和微軟Azure獲得的不同類型的安全產(chǎn)品。每個供應(yīng)商提供每種工具的功能或多或少是等效的，盡管并非總是在它們之間進(jìn)行一對一的比較。

身份和訪問管理

所有公共云都提供身份和訪問管理(IAM)框架。云計算管理員可以使用這些框架來配置哪些用戶或服務(wù)可以訪問不同的基于云計算的工作負(fù)載或資源。

這些類型的供應(yīng)商工具還提供補(bǔ)充服務(wù)，用于實(shí)施雙因素身份驗證、將基于云計算的訪問管理(IAM)框架與目錄服務(wù)集成，以及管理與身份驗證和授權(quán)相關(guān)的其他常見任務(wù)。

審計與監(jiān)控

諸如Amazon Inspector和Microsoft Azure安全中心之類的云原生安全工具會自動檢查常見類型的云計算工作負(fù)載的配置，并在檢測到潛在的安全問題時生成警報。谷歌云數(shù)據(jù)丟失預(yù)防和Amazon Macie通過自動檢測未得到適當(dāng)保護(hù)的敏感信息并向用戶發(fā)出警報，為數(shù)據(jù)提供了類似的功能。

為了進(jìn)一步保護(hù)數(shù)據(jù)，有一些工具(例如Amazon GuardDuty和Azure Advanced Threat Protection)可以監(jiān)視可能預(yù)示基于云計算的環(huán)境和內(nèi)部部署環(huán)境中安全問題的事件。

防火墻和防止DDoS攻擊

IT團(tuán)隊使用Google Cloud Armor、AWS網(wǎng)絡(luò)應(yīng)用防火墻和Azure防火墻等服務(wù)來配置防火墻，以控制對云平臺中運(yùn)行的應(yīng)用程序的網(wǎng)絡(luò)訪問。相關(guān)工具可緩解針對基于云計算資源的DDoS攻擊。

加密

可以使用Amazon S3和Azure Blob Storage等存儲服務(wù)中內(nèi)置的原生功能對主要公共云上存儲的數(shù)據(jù)進(jìn)行選擇性加密(在默認(rèn)情況下會自動加密)。公共云供應(yīng)商還提供基于云的密鑰管理服務(wù)，例如Azure Key Vault和谷歌關(guān)鍵管理服務(wù)(Google Key Management Service)，以安全地跟蹤加密密鑰。

安全運(yùn)營中心

最后，為幫助云計算管理員集中管理所有安全工具及其相關(guān)數(shù)據(jù)，云計算供應(yīng)商還提供了與安全運(yùn)營中心差不多的服務(wù)。全球三個主要的云計算提供商提供了Azure安全中心、AWS安全中心和谷歌云平臺的安全運(yùn)營中心，以幫助用戶管理其安全工具。

第三方云安全工具

盡管某些組織將默認(rèn)使用其云計算提供商的原生安全工具，但還有其他選擇。實(shí)際上，許多第三方工具可以實(shí)現(xiàn)上述相同的功能。

例如，如果要監(jiān)視云計算基礎(chǔ)設(shè)施中的安全事件，則可以使用商業(yè)服務(wù)，例如Splunk、IBM QRadar或LogRhythm，它們也提供安全運(yùn)營中心的許多功能。

組織可以使用VeraCrypt或AxCrypt等開源工具對存儲在云中的數(shù)據(jù)進(jìn)行加密。諸如Cloudflare和Akamai之類的第三方防火墻服務(wù)可以保護(hù)云計算應(yīng)用程序免受網(wǎng)絡(luò)攻擊者的威脅。

這就引出了一個問題：是使用云計算供應(yīng)商的安全工具還是選擇第三方產(chǎn)品?確定最佳方法時需要權(quán)衡三個因素。

組織的原生安全需求是什么?

盡管組織可以使用某些云原生安全服務(wù)(例如Amazon GuardDuty和Azure Advanced Threat Protection)來管理內(nèi)部部署設(shè)施和基于云計算基礎(chǔ)設(shè)施的安全風(fēng)險，但其他服務(wù)僅在云平臺中工作。例如，不能使用基于云計算的數(shù)據(jù)安全服務(wù)的原生加密功能來加密內(nèi)部部署的數(shù)據(jù)。

另一個例子是，基于云計算的防火墻服務(wù)可能被用來保護(hù)內(nèi)部部署應(yīng)用程序，但前提是要建立一個相對復(fù)雜和昂貴的架構(gòu)，將這些應(yīng)用程序與云計算防火墻服務(wù)集成在一起。

因此，組織最好在企業(yè)內(nèi)部和公共云中廣泛使用第三方選項。在這種情況下，公共云原生安全工具是不夠的，因為第三方提供商在保護(hù)基于云計算的資源和內(nèi)部部署資源方面提供了更多的平等性。

是采用多云的組織嗎?

同樣，采用多云策略的組織可能應(yīng)該選擇第三方安全工具。云計算供應(yīng)商提供的原生安全產(chǎn)品通常不能與競爭性公共云上的產(chǎn)品一起使用。

在某些情況下，有可能構(gòu)建復(fù)雜的人工集成，這將使IT團(tuán)隊能夠?qū)⒁粋€云平臺中與安全相關(guān)的數(shù)據(jù)提取到另一云平臺中的安全監(jiān)視工具中。但這更加麻煩。取而代之的是，選擇同時與多個云供應(yīng)商的數(shù)據(jù)或服務(wù)集成的第三方工具。

組織的云計算安全需求將如何擴(kuò)展和發(fā)展?

組織還需要考慮其云計算安全需求的范圍以及隨著時間的推移將會如何增長。

如果組織只有少量工作負(fù)載在云平臺中運(yùn)行，并且暫時不希望這種情況發(fā)生變化，那么僅靠云計算供應(yīng)商的安全工具來保護(hù)它們是可行的。在大多數(shù)情況下，這種方法設(shè)置的速度更快，因為安全工具與組織的云原生服務(wù)集成在一起。

但是，如果組織希望其云計算足跡穩(wěn)定增長，或者需要靈活性以遷移到其他云平臺或?qū)⒐ぷ髫?fù)載遷移回內(nèi)部部署設(shè)施，則第三方安全服務(wù)將提供更大的靈活性。