2022-10-06 分類: 網(wǎng)站建設(shè)
AWS、Microsoft Azure和Google Cloud提供的網(wǎng)絡(luò)、基礎(chǔ)設(shè)施、數(shù)據(jù)和應(yīng)用程序安全功能的簡要指南,可以幫助企業(yè)防止網(wǎng)絡(luò)攻擊,并保護(hù)企業(yè)的基于云計(jì)算的資源和工作負(fù)載。
企業(yè)在選擇公有云服務(wù)提供商時(shí)的最主要考慮因素是他們提供的網(wǎng)絡(luò)安全級別,這意味著他們?yōu)楸Wo(hù)自己的網(wǎng)絡(luò)和服務(wù)以及保護(hù)客戶數(shù)據(jù)免受破壞和其他攻擊而實(shí)施的特性和能力。
全球三個(gè)主要的云計(jì)算提供商AWS、Microsoft Azure和Google Cloud都非常重視安全性,其原因顯而易見。如果他們提供的云服務(wù)出現(xiàn)廣為人知的安全漏洞,那么這樣的事件可能會嚇跑潛在客戶,造成數(shù)百萬美元的損失,并可能導(dǎo)致合規(guī)性處罰。
以下是全球三大云計(jì)算提供商在網(wǎng)絡(luò)安全的四個(gè)關(guān)鍵領(lǐng)域提供的服務(wù)。
1. 網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全(1) AWS
AWS云平臺提供了多種安全功能和服務(wù),旨在增強(qiáng)隱私和控制網(wǎng)絡(luò)訪問。其中包括允許客戶創(chuàng)建私有網(wǎng)絡(luò),并控制對實(shí)例或應(yīng)用程序的訪問的網(wǎng)絡(luò)防火墻。企業(yè)可以在AWS服務(wù)的傳輸過程中控制加密。
還包括啟用專用或?qū)S眠B接的連接選項(xiàng);分布式拒絕服務(wù)緩解技術(shù),可以作為應(yīng)用程序和內(nèi)容交付策略的一部分;自動加密AWS公司在全球和區(qū)域網(wǎng)絡(luò)上安全設(shè)施之間的所有流量。
(2) Google Cloud
谷歌公司專門為安全設(shè)計(jì)并采用了安全硬件,例如定制的安全芯片Titan。谷歌云平臺(Google Cloud)使用它在其服務(wù)器和外圍設(shè)備中提供安全基礎(chǔ)。谷歌公司構(gòu)建自己的網(wǎng)絡(luò)硬件以提高安全性。這一切都集中在其數(shù)據(jù)中心設(shè)計(jì)中,其中包括多層物理和邏輯保護(hù)。
在網(wǎng)絡(luò)方面,谷歌云平臺設(shè)計(jì)并持續(xù)發(fā)展全球網(wǎng)絡(luò)基礎(chǔ)設(shè)施,以支持其云服務(wù)抵御分布式拒絕服務(wù)(DDoS)等攻擊并保護(hù)其服務(wù)和客戶。2017年,谷歌云平臺的基礎(chǔ)設(shè)施遭到了2.5Tbps的DDoS攻擊,這是迄今為止報(bào)告的一次最高帶寬攻擊。
除了其全球網(wǎng)絡(luò)基礎(chǔ)設(shè)施的內(nèi)置功能外,谷歌云平臺還提供客戶可以選擇部署的網(wǎng)絡(luò)安全功能。其中包括云負(fù)載平衡和Cloud Armor,這是一種網(wǎng)絡(luò)安全服務(wù),可以抵御DDoS和應(yīng)用程序攻擊。
谷歌公司采取了多項(xiàng)安全措施來幫助確保傳輸中數(shù)據(jù)的真實(shí)性、完整性和隱私性。當(dāng)數(shù)據(jù)移動到不受該公司控制的物理邊界之外時(shí),它會在一個(gè)或多個(gè)網(wǎng)絡(luò)層對傳輸中的數(shù)據(jù)進(jìn)行加密和認(rèn)證。
(3) Microsoft Azure
Microsoft Azure在由微軟公司管理和運(yùn)營的數(shù)據(jù)中心中運(yùn)行。微軟公司表示,這些地理位置分散的數(shù)據(jù)中心符合安全性和可靠性的關(guān)鍵行業(yè)標(biāo)準(zhǔn)。數(shù)據(jù)中心由具有多年經(jīng)驗(yàn)的微軟公司運(yùn)營人員管理、監(jiān)控和管理。
微軟公司還對運(yùn)營人員進(jìn)行背景驗(yàn)證檢查,并根據(jù)背景驗(yàn)證的級別限制對應(yīng)用程序、系統(tǒng)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的訪問。
Azure防火墻是一種托管的、基于云計(jì)算的網(wǎng)絡(luò)安全服務(wù),用于保護(hù)Azure虛擬網(wǎng)絡(luò)資源。它是一個(gè)完全有狀態(tài)的防火墻即服務(wù),具有內(nèi)置的高可用性和不受限制的可擴(kuò)展性。Azure防火墻可以解密出站流量,執(zhí)行所需的安全檢查,然后在將流量轉(zhuǎn)發(fā)到目的地之前重新加密流量。管理員可以允許或拒絕用戶訪問網(wǎng)站類別,例如賭博網(wǎng)站和社交媒體等。
2. 身份和訪問控制(1) AWS
AWS公司提供跨AWS服務(wù)定義、實(shí)施和管理用戶訪問策略的功能。其中包括AWS身份和訪問管理(IAM),它允許企業(yè)定義具有跨AWS資源權(quán)限的單個(gè)用戶賬戶,以及AWS特權(quán)帳戶的多因素身份驗(yàn)證,其中包括基于軟件和基于硬件的身份驗(yàn)證器的選項(xiàng)。AWS IAM可用于授予員工和應(yīng)用程序?qū)WS管理控制臺和AWS服務(wù)API的聯(lián)合訪問權(quán)限,使用現(xiàn)有的身份系統(tǒng),例如Microsoft Active Directory或其他合作伙伴產(chǎn)品。
(2) Google Cloud
谷歌公司的云計(jì)算身份和訪問管理提供了幾種在谷歌云中管理身份和角色的方法。首先,Cloud IAM允許管理員授權(quán)誰可以對特定資源采取行動,從而提供對集中管理谷歌云平臺資源的完全控制和可見性。此外,對于具有復(fù)雜組織結(jié)構(gòu)、數(shù)百個(gè)工作組和許多項(xiàng)目的企業(yè),Cloud IAM提供了跨整個(gè)組織的安全策略的統(tǒng)一視圖,并提供了內(nèi)置審核以簡化合規(guī)性流程。
還可以使用Cloud Identity,這是一種身份即服務(wù)(IDaaS)產(chǎn)品,可以集中管理用戶和組。企業(yè)可以配置Cloud Identity來聯(lián)合谷歌公司和其他身份提供商之間的身份。谷歌云平臺還提供Titan安全密鑰,以提供加密證明,證明用戶正在與合法服務(wù)(即他們注冊安全密鑰的服務(wù))交互,并且他們擁有安全密鑰。
最后,Cloud Resource Manager提供組織、文件夾和項(xiàng)目等資源容器,允許企業(yè)對谷歌云平臺資源進(jìn)行分組和分層組織。
(3) Microsoft Azure
Azure Active Directory(Azure AD)是一種企業(yè)身份服務(wù),它提供對Azure服務(wù)以及企業(yè)網(wǎng)絡(luò)、內(nèi)部部署資源和數(shù)千個(gè)SaaS應(yīng)用程序的單點(diǎn)登錄、多重身份驗(yàn)證和條件訪問。Azure AD使企業(yè)能夠通過安全的自適應(yīng)訪問保護(hù)身份,通過統(tǒng)一的身份管理簡化訪問和控制,并確保符合簡化的身份治理。微軟公司表示,它可以幫助保護(hù)用戶免受99.9%的網(wǎng)絡(luò)安全攻擊。
3. 數(shù)據(jù)保護(hù)和加密(1) AWS
AWS能夠?yàn)樵浦械撵o態(tài)數(shù)據(jù)添加一層安全保護(hù)。它提供可擴(kuò)展的加密功能,包括大多數(shù)AWS服務(wù)(包括Amazon EBS、Amazon S3、Amazon RDS、Amazon Redshift、Amazon ElastiCache、AWS Lambda和Amazon SageMaker)中的靜態(tài)數(shù)據(jù)加密功能。
還提供靈活的密鑰管理選項(xiàng),包括AWS密鑰管理服務(wù),該服務(wù)允許公司選擇是讓AWS管理加密密鑰還是完全控制自己的密鑰;使用AWS Cloud HSM的基于硬件的專用加密密鑰存儲;以及使用Amazon SQS的服務(wù)器端加密(SSE)傳輸敏感數(shù)據(jù)的加密消息隊(duì)列。
(2) Google Cloud
谷歌公司提供機(jī)密計(jì)算,該公司稱之為一種“突破性”技術(shù),可以對使用中的數(shù)據(jù)進(jìn)行加密——即在處理數(shù)據(jù)時(shí)。機(jī)密計(jì)算環(huán)境將數(shù)據(jù)加密在內(nèi)存和中央處理單元之外的其他地方。
機(jī)密計(jì)算產(chǎn)品組合中的第一個(gè)產(chǎn)品是機(jī)密虛擬機(jī)。谷歌公司已經(jīng)使用各種隔離和沙盒技術(shù)作為其云計(jì)算基礎(chǔ)設(shè)施的一部分,以幫助確保其多租戶架構(gòu)的安全,而機(jī)密虛擬機(jī)通過提供內(nèi)存加密將其提升到一個(gè)新的水平,以便用戶可以進(jìn)一步隔離云中的工作負(fù)載。
另一個(gè)產(chǎn)品,云外部密鑰管理器(Cloud EKM),允許企業(yè)使用在受支持的外部密鑰管理合作伙伴中管理的密鑰來保護(hù)谷歌云平臺中的數(shù)據(jù)。企業(yè)可以對第三方密鑰保持密鑰來源,并控制密鑰的創(chuàng)建、位置和分發(fā)。他們還可以完全控制誰訪問他們的密鑰。
(3) Microsoft Azure
Azure Key Vault有助于保護(hù)云計(jì)算應(yīng)用程序和服務(wù)使用的加密密鑰和機(jī)密。Azure Key Vault旨在簡化密鑰管理流程,并使企業(yè)能夠保持對訪問和加密數(shù)據(jù)的密鑰的控制。開發(fā)人員可以在幾分鐘內(nèi)創(chuàng)建用于開發(fā)和測試的密鑰,然后將它們遷移到生產(chǎn)密鑰。安全管理員可以根據(jù)需要授予和撤銷對密鑰的權(quán)限。
Microsoft Information Protection和Microsoft Information Governance有助于保護(hù)和管理Microsoft 365中的數(shù)據(jù)。Microsoft Information Protection將數(shù)據(jù)丟失防護(hù)擴(kuò)展到所有Microsoft365應(yīng)用程序和服務(wù),以及Windows 10和Edge。Azure權(quán)限幫助企業(yè)了解其結(jié)構(gòu)化數(shù)據(jù)的位置,以便更好地保護(hù)和管理這些數(shù)據(jù)。
4. 應(yīng)用安全(1) AWS
AWS Shield是一項(xiàng)托管DDoS保護(hù)服務(wù),可以保護(hù)在AWS云平臺上運(yùn)行的應(yīng)用程序。AWS Shield提供始終在線的檢測和自動內(nèi)聯(lián)緩解措施,旨在大限度地減少應(yīng)用程序停機(jī)時(shí)間和延遲。AWS Shield有標(biāo)準(zhǔn)和高級兩個(gè)層級。
所有AWS客戶都有權(quán)享受AWS Shield Standard的自動保護(hù),該公司表示,該標(biāo)準(zhǔn)可以防御針對網(wǎng)站或應(yīng)用程序的最常見的網(wǎng)絡(luò)層和傳輸層DDoS攻擊。當(dāng)Shield Standard與Amazon Cloud Front和Amazon Route 53一起使用時(shí),客戶將獲得針對所有已知基礎(chǔ)設(shè)施攻擊的全面保護(hù)。
為了針對在Amazon EC2、Elastic Load Balancing、Amazon CloudFront、AWS Global Accelerator和Amazon Route 53資源上運(yùn)行的應(yīng)用程序的攻擊提供更高級別的保護(hù),企業(yè)可以選擇AWS Shield Advanced。除了Shield Standard附帶的網(wǎng)絡(luò)層和傳輸層保護(hù)之外,Shield Advanced還針對大型復(fù)雜DDoS攻擊提供了額外的檢測和緩解、近乎實(shí)時(shí)的攻擊可見性以及與云計(jì)算提供商的Web應(yīng)用程序防火墻AWS WAF的集成。
(2) Google Cloud
Google Cloud網(wǎng)絡(luò)應(yīng)用和API防護(hù)(WAAP)為網(wǎng)絡(luò)應(yīng)用和API提供全面的威脅防護(hù)。Cloud WAAP基于谷歌公司用來保護(hù)其面向公眾的服務(wù)免受Web應(yīng)用程序攻擊、DDoS攻擊、欺詐性機(jī)器人活動和API目標(biāo)威脅的相同技術(shù)。
Cloud WAAP代表了從孤立應(yīng)用保護(hù)到統(tǒng)一應(yīng)用保護(hù)的轉(zhuǎn)變,旨在提供改進(jìn)的威脅預(yù)防、更高的運(yùn)營效率以及整合的可見性和遙測功能。谷歌公司表示,它還提供跨云平臺和內(nèi)部部署環(huán)境的保護(hù)。
Cloud WAAP結(jié)合了三種產(chǎn)品,可提供針對威脅和欺詐的全面保護(hù)。一個(gè)是Google Cloud Armor,它是谷歌全球負(fù)載均衡基礎(chǔ)設(shè)施的一部分,提供Web應(yīng)用程序防火墻和DDoS功能。另一個(gè)是Apigee API Management,它提供API生命周期管理功能,重點(diǎn)關(guān)注安全性。第三個(gè)是reCaptcha Enterprise,它可以防止欺詐活動、垃圾郵件和濫用行為,例如憑證填充、自動帳戶創(chuàng)建和自動機(jī)器人的攻擊。
谷歌云平臺另一個(gè)產(chǎn)品Cloud Security Scanner可以掃描漏洞,并深入了解Web應(yīng)用程序漏洞,并允許企業(yè)在不良行為者利用它們之前采取行動。
(3) 微軟Azure
Microsoft Cloud App Security是一個(gè)云應(yīng)用安全代理,它結(jié)合了多功能可見性、對數(shù)據(jù)傳輸?shù)目刂?、用戶活動監(jiān)控和復(fù)雜的分析,使客戶能夠識別和應(yīng)對其所有Microsoft和第三方云服務(wù)中的網(wǎng)絡(luò)威脅。Cloud App Security專為信息安全專業(yè)人士設(shè)計(jì),與安全和身份工具(包括Azure Active Directory、Microsoft Intune、Microsoft information Protection)進(jìn)行原生集成,并支持各種部署模式,包括日志收集、API連接器和反向代理。
文章題目:關(guān)于三大公有云平臺的網(wǎng)絡(luò)安全不可不了解的四個(gè)關(guān)鍵領(lǐng)域
網(wǎng)頁URL:http://www.rwnh.cn/news10/202360.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供建站公司、網(wǎng)站建設(shè)、企業(yè)網(wǎng)站制作、自適應(yīng)網(wǎng)站、商城網(wǎng)站、云服務(wù)器
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容