本文詳細(xì)分析了AWS、Azure和Googlecloud提供的云安全指南和資源，并確定了它們對(duì)新手和經(jīng)驗(yàn)豐富的架構(gòu)師的價(jià)值。

　　使云安全架構(gòu)的第二次迭代變得完美是小菜一碟。真正的挑戰(zhàn)是有一個(gè)充分的第一次迭代。如果前者一般，工程師將不得不花費(fèi)數(shù)周時(shí)間重新調(diào)整配置，或者從頭開始實(shí)施。更糟糕的是，企業(yè)最初的云安全態(tài)勢(shì)可能比來自Emmental地區(qū)的瑞士奶酪有更多的漏洞。

　　云供應(yīng)商提供了數(shù)以千計(jì)的文章、教程和網(wǎng)頁來解釋云安全的每一個(gè)細(xì)節(jié)。但對(duì)于第一個(gè)設(shè)計(jì)來說，最重要的是指導(dǎo)安全架構(gòu)師系統(tǒng)地開發(fā)一個(gè)保護(hù)云資產(chǎn)的“大設(shè)計(jì)”。而且該方法必須對(duì)經(jīng)驗(yàn)豐富的架構(gòu)師和第一次使用特定云的架構(gòu)師都有幫助。

　　那么，AWS的良好架構(gòu)框架、谷歌云安全基金會(huì)指南和各種微軟Azure框架有多大價(jià)值呢?讓我們?cè)敿?xì)分析一下這些流行廠商的安全指南產(chǎn)品。

　　谷歌云安全基金會(huì)指南

　　Google的130頁GCP安全基礎(chǔ)指南介紹了Google的GCP安全理念、原則和一個(gè)示例GCP環(huán)境，作為貫穿文檔中心部分的示例。它詳細(xì)闡述了八個(gè)與安全相關(guān)的主題，從網(wǎng)絡(luò)和身份和訪問管理(IAM)到計(jì)費(fèi)和應(yīng)用程序安全(子章節(jié)II.5-II)。12，參見圖1)。所有這些子章節(jié)的核心是體系結(jié)構(gòu)藍(lán)圖和安全體系結(jié)構(gòu)模式。

　　它對(duì)誰最有利?

　　可視化了文檔樣式:一個(gè)大的架構(gòu)圖、解釋文本和一個(gè)包含確切配置設(shè)置細(xì)節(jié)的表。座右銘是:“展示藍(lán)圖并解釋它?！币虼耍瑒偨佑|GCP的安全架構(gòu)師或第一次處理這些安全主題之一的安全架構(gòu)師可以從初始的架構(gòu)良好的設(shè)計(jì)模式中受益，他們可以根據(jù)具體的公司環(huán)境修改和定制該模式。

　　AWS架構(gòu)良好的框架

　　亞馬遜早在2015年就推出了AWS良好架構(gòu)框架。它最初由五個(gè)支柱組成，但現(xiàn)在有六個(gè)支柱:卓越運(yùn)營(yíng)、安全性、可靠性、性能效率、成本優(yōu)化和可持續(xù)性。近年來，AWS用技術(shù)和特定行業(yè)的視角補(bǔ)充了這些支柱。

　　安全支柱的AWS框架文檔有155頁，詳細(xì)介紹了66個(gè)安全主題。它們描述了七個(gè)方面的需求:安全基礎(chǔ)、身份和訪問管理、檢測(cè)、基礎(chǔ)設(shè)施保護(hù)、數(shù)據(jù)保護(hù)、事件響應(yīng)和應(yīng)用程序安全。其結(jié)構(gòu)可能與GCP不同。然而，主要的區(qū)別在于AWS呈現(xiàn)主題的方法。

　　GCP將架構(gòu)藍(lán)圖放在解釋的中心，而AWS提供了一個(gè)架構(gòu)良好的框架，卻沒有(幾乎)任何圖表。AWS遵循非常嚴(yán)格的結(jié)構(gòu)，如圖4所示。對(duì)于所有主題都是一樣的:期望的結(jié)果和反模式(即，通常觀察到的不良設(shè)計(jì))，然后是簡(jiǎn)短的風(fēng)險(xiǎn)聲明，解釋沒有充分處理特定主題的后果。接下來是包含任務(wù)和步驟的實(shí)現(xiàn)指南。主題描述的最后提供了其他文章的鏈接，這些文章提供了更多的見解，并突出了其他密切相關(guān)的AWS框架主題。

　　它對(duì)誰最有利?

　　那么，AWS框架對(duì)誰有幫助呢?顯然，它是每個(gè)項(xiàng)目經(jīng)理最好的朋友。它列出了安全架構(gòu)師必須交付和工程師必須實(shí)現(xiàn)的設(shè)計(jì)。然而，架構(gòu)師不應(yīng)該期望任何設(shè)計(jì)或模式可以幫助他們?cè)O(shè)計(jì)解決方案，盡管框架包含指向后一種目的的潛在有用信息的鏈接。

　　Azure安全文檔

　　Azure不是只有一個(gè)，而是有幾個(gè)相互競(jìng)爭(zhēng)和重疊的框架和方法。特別是，有架構(gòu)良好的框架、架構(gòu)中心和Azure安全基礎(chǔ)文檔。如圖5所示，后者有兩個(gè)部分側(cè)重于核心安全體系結(jié)構(gòu)主題:保護(hù)云解決方案和保護(hù)Azure資源。這兩個(gè)部分都鏈接到多個(gè)網(wǎng)頁。在云安全最佳實(shí)踐的情況下，它們涵蓋了從網(wǎng)絡(luò)到PaaS安全的各種安全領(lǐng)域。每個(gè)頁面都介紹了子主題，通常用一句話概括了最佳實(shí)踐——“不要分配范圍太廣的允許規(guī)則”或“啟用SSO”——然后是進(jìn)一步的簡(jiǎn)短解釋。但是Azure安全基礎(chǔ)文檔如何幫助安全架構(gòu)師構(gòu)建他們的工作和設(shè)計(jì)安全架構(gòu)呢?

　　它對(duì)誰最有利?

　　文檔對(duì)基本主題提供了出色的解釋，并激勵(lì)讀者點(diǎn)擊鏈接閱讀其他文章，幫助他們加深對(duì)安全主題的總體理解。然而，你不能通過閱讀所有相關(guān)的大英百科全書文章有效地學(xué)習(xí)土木工程。類似地，新手Azure安全架構(gòu)師學(xué)習(xí)概念，但在瀏覽此文檔時(shí)不會(huì)學(xué)習(xí)方法或獲得結(jié)結(jié)性任務(wù)列表。也沒有架構(gòu)圖來解釋各種Azure云組件和安全服務(wù)之間的相互作用。

　　同樣值得一提的是微軟的架構(gòu)藍(lán)圖集合(Azure架構(gòu))，其中許多涉及與安全相關(guān)的主題(例如，“使用Azure網(wǎng)絡(luò)安全的安全MLOps解決方案”)。同樣，它們寫得很好，內(nèi)容豐富。它們幫助建筑師和工程師了解特定甚至非常小眾主題的最佳實(shí)踐設(shè)計(jì)。然而，藍(lán)圖的展示并不是一個(gè)系統(tǒng)的介紹，它將幫助安全架構(gòu)師建立一個(gè)初始的IaaS或PaaS數(shù)據(jù)中心。

　　然后是Azure架構(gòu)良好的框架。它有五個(gè)支柱，一個(gè)致力于安全。安全支柱涵蓋五個(gè)方面——身份管理、保護(hù)基礎(chǔ)設(shè)施、應(yīng)用程序安全性、數(shù)據(jù)主權(quán)和加密以及安全資源(圖6)。與AWS不同，Azure框架不提供結(jié)構(gòu)化的需求列表。相反，它簡(jiǎn)要地解釋了概念和附加資源的鏈接——對(duì)于安全工程師、項(xiàng)目經(jīng)理或架構(gòu)師來說都不是直接可操作的。

　　結(jié)語

　　Azure為所有與安全相關(guān)和非安全相關(guān)的特性提供了許多學(xué)習(xí)資源和文檔，但安全架構(gòu)師的學(xué)習(xí)曲線很高。架構(gòu)師必須自構(gòu)建安全領(lǐng)域，并考慮如何在其總體設(shè)計(jì)中處理各種主題。相比之下，GCP的安全基礎(chǔ)指南提供了基本的現(xiàn)成架構(gòu)藍(lán)圖，解決了關(guān)鍵安全領(lǐng)域的各種云安全特性和組件的相互作用。最后，還有AWS架構(gòu)良好的框架:普魯士式的冷靜、缺乏幽默感、一針見血和過度結(jié)構(gòu)化。它提供了一個(gè)清晰的概述和要做的事情列表。它甚至可以作為其他云的初始工作包定義的輸入進(jìn)行重用。