导语:本文对两个云服务提供商巨头Google和亚马逊提供的云服务安全功能和特性进行了比较。
首先介绍一些谷歌和亚马逊云平台提供的产品和服务。
Google云平台
Google云平台是有不同的服务和解决方案组成的,允许用户使用谷歌在自己产品中所使用的同样的软硬件设施。
谷歌云平台提供的产品超过50种,主要有:
Google Compute Engine Google App Engine Google Container Engine Google Cloud Bigtable Google BigQuery Google Cloud Functions Google Cloud Datastore Google Storage Google Cloud CDN Google Cloud DNS
Amazon Web服务(AWS)
Amazon Web Services (AWS)是亚马逊向用户提供云计算服务的一个副产品。
亚马逊云服务提供的产品超过200种,主要有:
Amazon Elastic Compute Cloud (Amazon EC2) AWS Elastic Beanstalk Amazon EC2 Container Service Amazon DynamoDB Amazon Redshift Amazon Lambda Amazon DynamoDB Amazon S3 Amazon CloudFront Amazon Route 53
安全
在2017年的云计算研究中,Clutch调研了283个美国使用云服务的IT专家。对于安全,约70%的专家认为把数据存储到云上是相对安全的。
当被问及云服务的主要优势时,有45%的受访者说安全是最大的优势。
使用云最主要的5大优势
Google云安全
谷歌云平台的安全性是基于一个15年的成熟安全模型的,这个安全模型目前保护着Gmail、谷歌搜素这样的产品和服务。谷歌目前的全职安全专家数量超过500人。其中一位专家对谷歌云平台的安全进行了深度分析(https://www.youtube.com/embed/O-JXFQezWOc?feature=oembed)。
谷歌云平台的安全特征包括:
· 数据传输加密。数据在云平台服务中,和传输中都是默认加密的。在磁盘中保存的数据是用256位AES加密的,每个加密密钥又通过定期变化的master key加密。
· 审计。企业经过SAE16, ISO 27017, ISO 27018, PCI, HIPAA等安全认证。谷歌安全主管说,这些认证都是由独立第三方进行的,能够证明谷歌云服务的安全性,确保用户的安全和隐私。
· 因为谷歌与一些大的ISP服务商都有往来,这能够帮助增强数据传输中的安全性,比如通过减少在公网上传输的跳数。
· 谷歌应用和存储栈的分层要求来自其他部件的请求经过认证和授权。
· 2017年9月谷歌启动了Google Cloud Identity and Access Management (Cloud IAM )来通过预设的角色给不同的用户不同资源的访问权限,防止用户对其他资源的非授权访问。这与AWS IAM是类似的。
从谷歌的安全白皮书中可以发现,他们使用Linux containers (LXC) 和LXD来对每个账户进行隔离,而不是对每个WordPress站点进行隔离。这样做是更加安全的。
AWS安全
与谷歌云平台类似,AWS平台的安全模式也经过了10年的发展,一些安全特征包括:
· 数据传输加密。数据在AWS,客户和数据中心间的传输,以及云平台之间的传输都是加密的。EC2中加密的数据是256位AES加密的,加密密钥是通过定期变化的master key来加密的。
· Amazon VPC内置的网络防火墙和AWS WAF中的web 应用防火墙功能。这些防火墙功能能创建私有网络,控制对应用和实例的访问。
· 灵活的密钥管理选项。AWS提供的AWS Key Management Service这样灵活的密钥管理选项让用户可以自由选择是否使用AWS来管理密钥,用户甚至可以自己完全控制密钥。
· 使用AWS CloudHSM的专门的基于硬件的加密密钥存储可以满足用户的合规性要求。
· AWS Identity and Access Management (IAM), AWS Multi-Factor Authentication, AWS Directory Services这些服务考虑了定义、强制执行和管理用户访问策略的问题。
· AWS提供PCI, ISO, HIPAA, SOC和其他合规性标准的审计服务。
关于AWS安全的更多细节参见Security Pillar AWS Well-Architected Framework
https://d0.awsstatic.com/whitepapers/architecture/AWS-Security-Pillar.pdf。
谷歌和亚马逊的云服务平台都在安全上做了很多工作,提供数据加密、访问控制、审计等服务。至于哪个服务更加安全,谁用谁知道……
说明:原文是谷歌云平台与亚马逊云平台的对比,本文只节选了其中安全的对比部分。