AWS, Google Cloud i Azure: porównanie ich funkcji bezpieczeństwa

Każda platforma chmurowa różni się narzędziami i funkcjami bezpieczeństwa, które oferuje klientom, aby pomóc im chronić ich zasoby w chmurze.

LordRunar / Getty Images

CISO próbujący określić, który z trzech głównych dostawców usług w chmurze (CSP) oferuje najlepsze zabezpieczenia, muszą podzielić to pytanie na dwie części: który z nich najlepiej zabezpiecza własną infrastrukturę, a który najlepiej pomaga użytkownikowi w zabezpieczeniu jego danych i aplikacji?

Bezpieczeństwo w chmurze publicznej opiera się na modelu współodpowiedzialności, poglądzie, że możliwe jest stworzenie twardej linii, która oddziela rolę dostawcy usług w chmurze (zabezpieczenie platformy) od roli klienta (ochrona jego aktywów w chmurze). W teorii brzmi to dobrze, ale w praktyce model współodpowiedzialności może być trudny, gdy CISO ma do czynienia z jednym dostawcą usług w chmurze, ale wykładniczo trudniejszy w świecie wielu chmur.

Zobacz również:

Jak ujął to Andy Ellis, ekspert ds. bezpieczeństwa, „wydaje się to naprawdę jasne i proste - i jak wszystkie jasne i proste analogie, nie wytrzymuje kontroli”. Zwraca on uwagę, że organizacjom trudno jest wyodrębnić wzajemne powiązania między platformą chmurową a aplikacjami działającymi na jej szczycie. „Rzeczywistość jest taka, że to, jak klient skonfiguruje usługę chmurową, ma kluczowe znaczenie dla bezpieczeństwa aplikacji. Lista sposobów, na jakie klient może skończyć strzałem w stopę, jest nadzwyczaj duża”.

Jednak ten solidny mur oddzielający odpowiedzialność CSP od roli klienta zaczyna się kruszyć. Aby się wyróżnić, dostawcy usług w chmurze dostrzegają braki w modelu współodpowiedzialności i starają się rozwijać bardziej partnerskie relacje z klientami, mówi Melinda Marks, starszy analityk w Enterprise Strategy Group (ESG).

Jak więc CISO może określić, jak dostawcy usług chmurowych z Wielkiej Trójki - Amazon AWS, Microsoft Azure i Google Cloud - różnią się w sposobie, w jaki rozwiązują te problemy i zapewniają bezpieczną i odporną platformę chmurową?

Zanim zagłębimy się w szczegóły dotyczące każdego z dostawców, oto trzy podstawowe punkty wyjścia, które przedstawił Richard Mogull, analityk i dyrektor generalny Securosis.

Podczas gdy Wielka Trójka ma tendencję do trzymania swoich wewnętrznych procesów i procedur w sekrecie, wszystkie one doskonale chronią fizyczne bezpieczeństwo swoich centrów danych, broniąc się przed atakami wewnętrznymi i zabezpieczając warstwę wirtualizacji, na której działają aplikacje i platformy rozwojowe.

Chmura jest zasadniczo nowym rodzajem centrum danych i każdy CSP różni się zasadniczo na poziomie technicznym. „Nie ma szybkiej poprawki. Rzeczywiste szczegóły wdrożenia będą różne u każdego z tych dostawców”. Najlepszą rzeczą, jaką mogą zrobić organizacje, jest dokonanie inwestycji w szkolenie pracowników, aby zdobyli oni wiedzę na temat działania w tych środowiskach chmurowych.

Poza szczegółami platformy każdego dostawcy, Mogull twierdzi, że udział w rynku koreluje z posiadaniem najszerszego zestawu narzędzi innych firm, najgłębszej bazy wiedzy i największej społeczności. AWS ma 33% udziału w rynku, Azure jest na drugim miejscu z 21%, a Google zajmuje odległe trzecie miejsce z 8%, według analizy przychodów z usług chmurowych w pierwszym kwartale 2022 roku przeprowadzonej przez firmę analityczną Canalys.

Google Cloud: Zamiana współodpowiedzialności na wspólny los

Firma Google zrobiła największy rozgłos, jeśli chodzi o redefinicję modelu współodpowiedzialności. W rzeczywistości Google ukuł nowy termin, który nazywa „współdzielonym losem” (shared fate).

Według Google CISO Phila Venablesa, „Model współodpowiedzialności tworzył 'niepewność' co do tego, kto zajmuje się określonymi aspektami wykrywania zagrożeń, najlepszymi praktykami konfiguracyjnymi oraz alertami dotyczącymi naruszeń bezpieczeństwa i anomalnych działań. „Współdzielony los” stanowi „kolejny krok ewolucyjny w celu stworzenia bliższego partnerstwa pomiędzy dostawcami usług w chmurze i ich klientami, aby wszyscy mogli lepiej stawić czoła obecnym i rosnącym wyzwaniom w zakresie bezpieczeństwa, jednocześnie realizując obietnicę cyfrowej transformacji”.

Cechy modelu „współdzielonego losu” obejmują domyślne konfiguracje zaprojektowane w celu zapewnienia podstaw bezpieczeństwa, blueprints, aby pomóc klientom łatwiej skonfigurować produkty i usługi oraz bezpieczne hierarchie polityk, więc zamiar polityk jest automatycznie włączany w całej infrastrukturze. Ponadto Google ma program łączący klientów chmury z ubezpieczycielami, którzy oferują specjalistyczne ubezpieczenia dla obciążeń w Google Cloud, zapewniając unikalny element zarządzania ryzykiem.

Jeżeli porównujemy Wielką Trójkę, to Google jest w ciekawej sytuacji. Mogull wskazuje, że Google Cloud jest „zbudowany na długoterminowej inżynierii Google i globalnych operacjach, które są szalenie imponujące”.

Jednak 8% udział Google w rynku jest problemem, ponieważ jest mniej ekspertów ds. bezpieczeństwa z głębokim doświadczeniem w Google Cloud, co przekłada się na mniej solidną społeczność i mniej narzędzi, mówi Mogull. Ogólnie rzecz biorąc, Google Cloud „nie jest tak dojrzały jak AWS” i nie ma tak szerokiego zakresu funkcji bezpieczeństwa.

Google rozwiązuje ten problem, ogłaszając ostatnio coś, co nazywa „niewidzialnym bezpieczeństwem”. Chodzi o to, że Google będzie nadal rozszerzać swoją ofertę zabezpieczeń w chmurze, aby organizacje mogły zmniejszyć swoje uzależnienie od narzędzi innych firm.

Jednym z przykładów jest Google Cloud IDS, zarządzany system wykrywania włamań, który przedsiębiorstwa mogą wdrożyć za pomocą kilku kliknięć, aby chronić się przed złośliwym oprogramowaniem, oprogramowaniem szpiegowskim, atakami typu command-and-control i innymi zagrożeniami sieciowymi.

Microsoft Azure zajmuje się bezpieczeństwem w wielu chmurach

Microsoft rozpoczął działania mające na celu sprostanie wyzwaniom związanym z zabezpieczeniem środowisk wielochmurowych, wydając Microsoft Defender for Cloud, który zapewnia zarządzanie postawą bezpieczeństwa w chmurze (CSPM) i ochronę obciążenia w chmurze (CWP) w Azure, AWS i Google Cloud.

Celem jest znalezienie słabych punktów w konfiguracjach chmury, pomoc we wzmocnieniu ogólnej postawy bezpieczeństwa i ochrona obciążeń roboczych przed ewoluującymi zagrożeniami w środowiskach wielochmurowych i hybrydowych. Microsoft Defender for Cloud obejmuje maszyny wirtualne, kontenery, bazy danych, pamięć masową i usługi aplikacji.

Jednak w chmurze Azure nadal obowiązuje model współodpowiedzialności. Organizacje są odpowiedzialne za ochronę bezpieczeństwa swoich danych i tożsamości, zasobów on-premises, punktów końcowych, kont i zarządzania dostępem.

Mogull mówi, że Azure jest po prostu nieco „bardziej szorstki wokół krawędzi pod względem dojrzałości” niż AWS, szczególnie w obszarach spójności, dokumentacji i faktu, że wiele usług domyślnie stosuje mniej bezpieczne konfiguracje. Azure ma jednak pewne zalety. Azure Active Directory może być połączone z korporacyjnym Active Directory, aby zapewnić jedno źródło prawdy dla autoryzacji i zarządzania uprawnieniami, co oznacza, że wszystko może być zarządzane z jednego katalogu. Zarządzanie tożsamością i dostępem w Azure jest bardzo hierarchiczne i łatwiejsze do zarządzania niż w AWS - mówi Mogull.

Jeśli chodzi o dynamikę rynku, Mogull mówi, że Microsoft wie, jak wykorzystać swoje istniejące relacje z klientami korporacyjnymi. Ostrzega jednak, że przedsiębiorstwa powinny wziąć pod uwagę, że bezpieczeństwo nie jest wpisane w DNA Microsoftu, tak jak to jest w przypadku dostawców zabezpieczeń typu pure-play.

Amazon Web Services (AWS) oferuje szeroki zestaw narzędzi bezpieczeństwa

Jako najstarszy i najbardziej dominujący dostawca, AWS ma przewagę, jeśli chodzi o wiedzę i narzędzia. „Łatwiej jest tutaj uzyskać odpowiedzi, znaleźć pomoc i znaleźć wspierane narzędzia. To na dodatek ogólna dojrzałość i zakres platformy” - mówi Mogull.

AWS posiada ogromny rynek dostawców zewnętrznych i dysponuje różnorodną ofertą dodatków, a także usługami doradczymi, konsultingowymi, szkoleniowymi i certyfikacyjnymi. Marks zwraca uwagę, że AWS „włożył wiele myśli w funkcje, które mają”. Przytacza Inspector, usługę, która stale skanuje instancje Amazon EC2 i obrazy kontenerów pod kątem luk w oprogramowaniu i niezamierzonych ekspozycji sieciowych.

Amazon GuardDuty to usługa wykrywania zagrożeń, która w sposób ciągły monitoruje konta AWS i obciążenia robocze pod kątem złośliwej aktywności i dostarcza szczegółowych ustaleń dotyczących bezpieczeństwa w celu zapewnienia widoczności i naprawy.

Te dodatkowe usługi i inne wchodzą w zakres AWS Security Hub, który zbiera dane dotyczące bezpieczeństwa z usług AWS i partnerów zewnętrznych i zapewnia skonsolidowany widok stanu bezpieczeństwa klienta.

Mogull dodaje: „Dwie z najlepszych funkcji bezpieczeństwa AWS to ich doskonała implementacja grup bezpieczeństwa (firewalli) i granularne IAM”. Jednak bezpieczeństwo AWS opiera się na izolowaniu usług od siebie, chyba że dostęp jest wyraźnie włączony. Działa to dobrze z perspektywy bezpieczeństwa, ale kompromisem jest to, że utrudnia zarządzanie w skali przedsiębiorstwa, że musi być i utrudnia zarządzanie IAM w skali, mówi Mogull. „Pomimo tych ograniczeń, AWS jest zwykle najlepszym miejscem do rozpoczęcia, gdzie napotkasz najmniej problemów z bezpieczeństwem”.

Źródło: CSO

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200