AWS、Microsoft Azure和Google Cloud提供的網絡、基礎設施、數據和應用程序安全功能的簡要指南，可以幫助企業防止網絡攻擊，并保護企業的基于云計算的資源和工作負載。

企業在選擇公有云服務提供商時的最主要考慮因素是他們提供的網絡安全級別，這意味著他們為保護自己的網絡和服務以及保護客戶數據免受破壞和其他攻擊而實施的特性和能力。

[[427505]]

全球三個主要的云計算提供商AWS、Microsoft Azure和Google Cloud都非常重視安全性，其原因顯而易見。如果他們提供的云服務出現廣為人知的安全漏洞，那么這樣的事件可能會嚇跑潛在客戶，造成數百萬美元的損失，并可能導致合規性處罰。

以下是全球三大云計算提供商在網絡安全的四個關鍵領域提供的服務。

1. 網絡和基礎設施安全

(1) AWS

AWS云平臺提供了多種安全功能和服務，旨在增強隱私和控制網絡訪問。其中包括允許客戶創建私有網絡，并控制對實例或應用程序的訪問的網絡防火墻。企業可以在AWS服務的傳輸過程中控制加密。

還包括啟用專用或專用連接的連接選項;分布式拒絕服務緩解技術，可以作為應用程序和內容交付策略的一部分;自動加密AWS公司在全球和區域網絡上安全設施之間的所有流量。

(2) Google Cloud

谷歌公司專門為安全設計并采用了安全硬件，例如定制的安全芯片Titan。谷歌云平臺(Google Cloud)使用它在其服務器和外圍設備中提供安全基礎。谷歌公司構建自己的網絡硬件以提高安全性。這一切都集中在其數據中心設計中，其中包括多層物理和邏輯保護。

在網絡方面，谷歌云平臺設計并持續發展全球網絡基礎設施，以支持其云服務抵御分布式拒絕服務(DDoS)等攻擊并保護其服務和客戶。2017年，谷歌云平臺的基礎設施遭到了2.5Tbps的DDoS攻擊，這是迄今為止報告的一次最高帶寬攻擊。

除了其全球網絡基礎設施的內置功能外，谷歌云平臺還提供客戶可以選擇部署的網絡安全功能。其中包括云負載平衡和Cloud Armor，這是一種網絡安全服務，可以抵御DDoS和應用程序攻擊。

谷歌公司采取了多項安全措施來幫助確保傳輸中數據的真實性、完整性和隱私性。當數據移動到不受該公司控制的物理邊界之外時，它會在一個或多個網絡層對傳輸中的數據進行加密和認證。

(3) Microsoft Azure

Microsoft Azure在由微軟公司管理和運營的數據中心中運行。微軟公司表示，這些地理位置分散的數據中心符合安全性和可靠性的關鍵行業標準。數據中心由具有多年經驗的微軟公司運營人員管理、監控和管理。

微軟公司還對運營人員進行背景驗證檢查，并根據背景驗證的級別限制對應用程序、系統和網絡基礎設施的訪問。

Azure防火墻是一種托管的、基于云計算的網絡安全服務，用于保護Azure虛擬網絡資源。它是一個完全有狀態的防火墻即服務，具有內置的高可用性和不受限制的可擴展性。Azure防火墻可以解密出站流量，執行所需的安全檢查，然后在將流量轉發到目的地之前重新加密流量。管理員可以允許或拒絕用戶訪問網站類別，例如賭博網站和社交媒體等。

2. 身份和訪問控制

(1) AWS

AWS公司提供跨AWS服務定義、實施和管理用戶訪問策略的功能。其中包括AWS身份和訪問管理(IAM)，它允許企業定義具有跨AWS資源權限的單個用戶賬戶，以及AWS特權帳戶的多因素身份驗證，其中包括基于軟件和基于硬件的身份驗證器的選項。AWS IAM可用于授予員工和應用程序對AWS管理控制臺和AWS服務API的聯合訪問權限，使用現有的身份系統，例如Microsoft Active Directory或其他合作伙伴產品。

(2) Google Cloud

谷歌公司的云計算身份和訪問管理提供了幾種在谷歌云中管理身份和角色的方法。首先，Cloud IAM允許管理員授權誰可以對特定資源采取行動，從而提供對集中管理谷歌云平臺資源的完全控制和可見性。此外，對于具有復雜組織結構、數百個工作組和許多項目的企業，Cloud IAM提供了跨整個組織的安全策略的統一視圖，并提供了內置審核以簡化合規性流程。

還可以使用Cloud Identity，這是一種身份即服務(IDaaS)產品，可以集中管理用戶和組。企業可以配置Cloud Identity來聯合谷歌公司和其他身份提供商之間的身份。谷歌云平臺還提供Titan安全密鑰，以提供加密證明，證明用戶正在與合法服務(即他們注冊安全密鑰的服務)交互，并且他們擁有安全密鑰。

最后，Cloud Resource Manager提供組織、文件夾和項目等資源容器，允許企業對谷歌云平臺資源進行分組和分層組織。

(3) Microsoft Azure

Azure Active Directory(Azure AD)是一種企業身份服務，它提供對Azure服務以及企業網絡、內部部署資源和數千個SaaS應用程序的單點登錄、多重身份驗證和條件訪問。Azure AD使企業能夠通過安全的自適應訪問保護身份，通過統一的身份管理簡化訪問和控制，并確保符合簡化的身份治理。微軟公司表示，它可以幫助保護用戶免受99.9%的網絡安全攻擊。

3. 數據保護和加密

(1) AWS

AWS能夠為云中的靜態數據添加一層安全保護。它提供可擴展的加密功能，包括大多數AWS服務(包括Amazon EBS、Amazon S3、Amazon RDS、Amazon Redshift、Amazon ElastiCache、AWS Lambda和Amazon SageMaker)中的靜態數據加密功能。

還提供靈活的密鑰管理選項，包括AWS密鑰管理服務，該服務允許公司選擇是讓AWS管理加密密鑰還是完全控制自己的密鑰;使用AWS Cloud HSM的基于硬件的專用加密密鑰存儲;以及使用Amazon SQS的服務器端加密(SSE)傳輸敏感數據的加密消息隊列。

(2) Google Cloud

谷歌公司提供機密計算，該公司稱之為一種“突破性”技術，可以對使用中的數據進行加密——即在處理數據時。機密計算環境將數據加密在內存和中央處理單元之外的其他地方。

機密計算產品組合中的第一個產品是機密虛擬機。谷歌公司已經使用各種隔離和沙盒技術作為其云計算基礎設施的一部分，以幫助確保其多租戶架構的安全，而機密虛擬機通過提供內存加密將其提升到一個新的水平，以便用戶可以進一步隔離云中的工作負載。

另一個產品，云外部密鑰管理器(Cloud EKM)，允許企業使用在受支持的外部密鑰管理合作伙伴中管理的密鑰來保護谷歌云平臺中的數據。企業可以對第三方密鑰保持密鑰來源，并控制密鑰的創建、位置和分發。他們還可以完全控制誰訪問他們的密鑰。

(3) Microsoft Azure

Azure Key Vault有助于保護云計算應用程序和服務使用的加密密鑰和機密。Azure Key Vault旨在簡化密鑰管理流程，并使企業能夠保持對訪問和加密數據的密鑰的控制。開發人員可以在幾分鐘內創建用于開發和測試的密鑰，然后將它們遷移到生產密鑰。安全管理員可以根據需要授予和撤銷對密鑰的權限。

Microsoft Information Protection和Microsoft Information Governance有助于保護和管理Microsoft 365中的數據。Microsoft Information Protection將數據丟失防護擴展到所有Microsoft365應用程序和服務，以及Windows 10和Edge。Azure權限幫助企業了解其結構化數據的位置，以便更好地保護和管理這些數據。

4. 應用安全

(1) AWS

AWS Shield是一項托管DDoS保護服務，可以保護在AWS云平臺上運行的應用程序。AWS Shield提供始終在線的檢測和自動內聯緩解措施，旨在最大限度地減少應用程序停機時間和延遲。AWS Shield有標準和高級兩個層級。

所有AWS客戶都有權享受AWS Shield Standard的自動保護，該公司表示，該標準可以防御針對網站或應用程序的最常見的網絡層和傳輸層DDoS攻擊。當Shield Standard與Amazon Cloud Front和Amazon Route 53一起使用時，客戶將獲得針對所有已知基礎設施攻擊的全面保護。

為了針對在Amazon EC2、Elastic Load Balancing、Amazon CloudFront、AWS Global Accelerator和Amazon Route 53資源上運行的應用程序的攻擊提供更高級別的保護，企業可以選擇AWS Shield Advanced。除了Shield Standard附帶的網絡層和傳輸層保護之外，Shield Advanced還針對大型復雜DDoS攻擊提供了額外的檢測和緩解、近乎實時的攻擊可見性以及與云計算提供商的Web應用程序防火墻AWS WAF的集成。

(2) Google Cloud

Google Cloud網絡應用和API防護(WAAP)為網絡應用和API提供全面的威脅防護。Cloud WAAP基于谷歌公司用來保護其面向公眾的服務免受Web應用程序攻擊、DDoS攻擊、欺詐性機器人活動和API目標威脅的相同技術。

Cloud WAAP代表了從孤立應用保護到統一應用保護的轉變，旨在提供改進的威脅預防、更高的運營效率以及整合的可見性和遙測功能。谷歌公司表示，它還提供跨云平臺和內部部署環境的保護。

Cloud WAAP結合了三種產品，可提供針對威脅和欺詐的全面保護。一個是Google Cloud Armor，它是谷歌全球負載均衡基礎設施的一部分，提供Web應用程序防火墻和DDoS功能。另一個是Apigee API Management，它提供API生命周期管理功能，重點關注安全性。第三個是reCaptcha Enterprise，它可以防止欺詐活動、垃圾郵件和濫用行為，例如憑證填充、自動帳戶創建和自動機器人的攻擊。

谷歌云平臺另一個產品Cloud Security Scanner可以掃描漏洞，并深入了解Web應用程序漏洞，并允許企業在不良行為者利用它們之前采取行動。

(3) 微軟Azure

Microsoft Cloud App Security是一個云應用安全代理，它結合了多功能可見性、對數據傳輸的控制、用戶活動監控和復雜的分析，使客戶能夠識別和應對其所有Microsoft和第三方云服務中的網絡威脅。Cloud App Security專為信息安全專業人士設計，與安全和身份工具(包括Azure Active Directory、Microsoft Intune、Microsoft information Protection)進行原生集成，并支持各種部署模式，包括日志收集、API連接器和反向代理。