一切责任都在甲方？三大公有云安全性分析

通常CISO在评估大型云服务提供商 (CSP) 的安全性时，需要将问题分为两部分：哪家云服务商在保护自身云基础设施方面做得最好，哪家在保护客户的基础设施（包括数据和应用程序）方面做得最好，这种“云安全二元论”导致了饱受争议的“责任共担模型”的产生。

一切责任都在甲方

“一切责任都在甲方”，是业界对公有云“安全责任共担模型”的调侃，同时也表明很多企业CISO在选择公有云时，对各大平台的云安全能力和发生网络安全事件时的责任共担模式并不十分了解。

公有云安全基于责任共担模型，将云服务提供商的角色（保护平台）与客户的角色（保护其在云中的资产）一刀切开，泾渭分明。这听起来不错，但在实践中，当CISO与某一个云供应商打交道时，责任共担模型可能会很棘手，而且在多云世界中难度还会成倍增加。

正如资深安全专家安迪·埃利斯（Andy Ellis）所说，“责任共担模型看起来非常清晰和简单，但它根本经不起检查。” 他指出，企业用户很难理清云平台与在其上运行的应用程序之间的关联。“现实情况是，客户如何配置云服务对应用程序的安全至关重要，而客户出事的方式非常之多。”

一些云计算巨头已经认识到了责任共担模型的缺陷给客户造成的困扰和担忧，并试图通过改进来吸引更多的客户。

那么CISO如何选择公有云服务商呢？近日，Securosis首席执行官Richard Mogull深入分析和对比了三大云服务提供商（亚马逊 AWS、微软 Azure 和谷歌云）的安全责任共担模型的改进，以及各自的云安全特色功能。文中很多评估方法也适用于其他云服务商的选型。 

本文的分析基于以下三个基本出发点：

• 虽然三巨头倾向于将其内部流程和程序保密，但它们都在保护数据中心的物理安全 、防御内部攻击以及保护运行应用程序和开发平台的虚拟化层方面做得非常出色。
• 云本质上是一种新型的数据中心，每个CSP在技术层面上都有根本的不同。“没有快速解决办法。每个提供商的实际实施细节都会有所不同。” 组织的最佳选择是投资培训员工，以便他们获得如何在这些云环境中操作的专业知识。
• 除了每个供应商平台的具体细节之外，Mogull认为云计算市场份额与是否拥有最广泛的第三方工具、最深入的知识库和最大的社区相关。根据分析公司Canalys对2022年第一季度云服务收入的分析，AWS拥有33%的市场份额，Azure以21%位居第二，谷歌以8%位居第三。

谷歌云：打造命运共同体

在重新定义责任共担模式方面，Google的口号最具轰动效应。Google创造了一个新术语：“共同命运”（shared fate）。

根据Google首席信息安全官Phil Venables的说法，“责任共担模型在谁处理威胁检测、配置最佳实践以及安全违规和异常活动警报的某些方面产生了‘不确定性’。” 共同命运代表了“在云服务提供商与其客户之间建立更紧密合作关系的下一步演进，以便每个人都能更好地应对当前和日益增长的安全挑战，同时仍能兑现数字化转型的承诺。”

“共同命运”的功能包括旨在确保安全基础的默认配置、帮助客户更轻松地配置产品和服务的蓝图以及安全策略层次结构，以便在整个基础架构中自动启用策略意图。此外，Google还有一个计划，将云客户与为谷歌云工作负载提供专业保险的保险公司联系起来，提供独特的风险管理组件。

在比较三巨头时，Google处于一个有趣的位置。Mogull指出，谷歌云“建立在Google的长期工程和全球运营之上，令人印象深刻。”

然而，Mogull指出，Google仅占据8%的云计算市场份额是一个问题，这意味着具有深厚谷歌云经验的安全专家较少，社区的健壮性和工具也较少。他说，总体而言，谷歌云“不如AWS成熟”，也没有同样广泛的安全功能。

Google正在解决这个问题，它最近宣布了一种被称为“隐形安全”的东西。这个想法是Google将继续扩展其云原生安全产品，以便客户可以减少对第三方工具的依赖。

一个例子是Google的Cloud IDS，这是一种托管入侵检测系统，企业只需单击几下即可部署该系统，以保护自己免受恶意软件、间谍软件、命令和控制攻击以及其他基于网络的威胁。

微软Azure重点解决多云安全问题

微软通过发布Microsoft Defender for Cloud开始努力应对保护多云环境的挑战，它提供跨Azure、AWS和Google Cloud的云安全状态管理(CSPM)和云工作负载保护(CWP) 。

这些工具的目标是找到跨云配置的薄弱环节，帮助加强整体安全态势，并保护工作负载免受跨多云和混合环境不断演变的威胁。Microsoft Defender for Cloud涵盖虚拟机、容器、数据库、存储和应用程序服务。

但是，责任共担模型仍然存在于Azure云中。客户需要对其数据和身份、本地资源、端点、帐户和访问管理的安全负责。

Mogull表示，Azure只是“在成熟度方面比AWS更粗糙一些”，尤其是在一致性、文档以及许多服务默认使用不太安全的配置方面。但Azure确实有一些优势，Azure Active Directory可以链接到企业Active Directory，为授权和权限管理提供单一事实来源，这意味着可以从单个目录管理所有内容。Mogull说，Azure的身份和访问管理层次分明，开箱即用，并且比AWS更易于管理。

就市场势头而言，Mogull表示“微软正在强势崛起”，因为它知道如何利用其与企业客户的现有关系。然而，他警告说，企业应该考虑到微软并没有像“纯血”的安全供应商那样将安全融入DNA中。

AWS提供广泛的安全工具集

作为历史最悠久、最具主导地位的云服务供应商，AWS在知识和工具方面具有优势。“更容易获得答案、寻求帮助和找到支持的工具。这是AWS平台整体成熟度的基础，”Mogull说。

AWS拥有庞大的第三方供应商市场，并提供各种附加产品以及咨询、咨询、培训和认证服务。Marks指出，AWS “对他们拥有的功能进行了很多思考”。例如Inspector，这是一项持续扫描Amazon EC2实例和容器映像以查找软件漏洞和意外网络暴露的服务。

Amazon GuardDuty是一项威胁检测服务，可持续监控AWS账户和工作负载是否存在恶意活动，并提供详细的安全调查结果以进行可见性和补救。

这些附加服务和其他服务都属于AWS Security Hub的范畴，后者从AWS服务和第三方合作伙伴收集安全数据，并提供客户安全状态的综合视图。

Mogull 指出：“AWS的两个最出色的安全功能是对安全组（防火墙）和精细IAM的出色实施。” 但是，除非明确启用访问权限，AWS安全性仍然主要基于对服务彼此的隔离。Mogull说，从安全角度来看，这很有效，但代价是使企业规模化的管理变得更加困难，并且使大规模管理IAM变得更加困难。“尽管有这些局限，AWS通常是最好的起点，在这里您遇到的安全问题最少。”