云基础设施安全解决方案目前分为三类云访问安全代理 (CASB)。****这些是位于云最终用户和服务提供商之间的策略执行点在云中或本地。云安全态势管理 (CSPM)。****这些解决方案可防止云资源配置错误以及 IaaS 和云基础设施内的漏洞。云工作负载保护平台 (CWAPP)。****这些解决方案可保护云工作负载最适合跨越本地、多个公共基础设施即服务 (IaaS) 云、私有云和虚拟机的混合环境。云安全基础设施的五个支柱无论采用哪种解决方案云安全都需要遵循五个支柱才能保持适当的防御和正常运行。身份和访问管理。这是谁在访问云中的内容以及访问的“时间”和“地点”的安全性。基础设施保护。组织的云基础设施很可能是通过 AWS 或 Azure 实现的并且可以通过他们的工具进行保护。了解有关AWS 云安全的更多信息。数据保护。这是通过加密实现的。加密工具可通过 AWS 和 Azure 获得。检测控制。这会提醒您的组织注意缺陷或潜在的恶意事件。云检测和响应 (CDR)等解决方案对于此类安全控制至关重要。事件响应。如果最坏的情况发生组织需要做好应对云和本地事件的准备。云带来了复杂性和安全风险。主要包括配置复杂。了解如何配置云尤其是随着越来越多的组织转向数字优先环境和混合工作模式成为首要问题。持续影响世界各地组织的技能短缺差距也无助于缓解担忧因为组织发现他们没有内部人员可以帮助他们进行配置。云的快速采用。云已经变得司空见惯与其他网络领域一样云的采用往往超过了安全性这意味着组织在保护其当前至关重要的云环境方面正在迎头赶上。此外许多组织在云上运行各种 SaaS 程序这只会增加复杂性并模糊可见性。网络犯罪分子的目标是云。考虑到它模糊、复杂且经常被忽视网络犯罪分子发现云成为他们犯罪的完美目标。了解云安全的必要性与实际实施云安全不同但组织可以采取具体步骤来加强云防御并为未来的威胁做好准备。十多年前当安全信息和事件管理 (SIEM) 工具进入市场时许多从业者认为信息管理和事件管理的结合具有开创性。****从那时起该技术经历了迭代以改进和增强其功能包括合并用户和实体行为分析UEBA、机器学习和人工智能功能以及为小型组织提供“开箱即用”配置依靠。尽管取得了这些进步而且 SIEM 是无数大型企业安全运营中心 (SOC)的安全支柱但由于其产生的噪音和信息量SIEM 在安全管理中的作用可能很复杂。因此许多安全专业人员可能会发现自己与 SIEM 不一致。****在投入大量时间、金钱和资源来实施和运营 SIEM 后他们期望看到显着的改进和效率的提高但情况并非总是如此。随着云采用率的迅速增加84% 的组织正在采用多云策略传统 SIEM 在云安全方面表现不佳。根据 SIEM 提供商 2023 年针对组织在其 SIEM 解决方案中看到的价值进行的调查SIEM 可能会产生不完整的覆盖范围和错误警报同时缺乏功能并增加成本。身份验证虚拟计算环境需要强大的身份验证机制以确保只有授权用户才能访问系统。这可以包括多因素身份验证 (MFA)例如密码和生物识别或基于令牌的身份验证以及基于角色的访问控制以限制对敏感数据和资源的访问。加密标准加密对于保护虚拟计算环境中传输中和静态的数据至关重要。您应该确保您的 SIEM 供应商支持行业标准加密协议例如 AES 和 SSL/TLS以保护数据通信和存储。秘密管理虚拟计算环境通常涉及敏感信息的使用例如凭证和密钥需要保护这些信息免受未经授权的访问。确保您的 SIEM 供应商提供强大的机密管理功能以保护这些敏感数据并防止它们受到损害。云账号AK泄露在如今的云的大环境下许多业务代码想要与云服务进行通信就需要通过accesskey这个东西进行鉴权鉴权通过后才能与云服务进行通信。通俗来讲人想要访问一个服务往往需要提供密码来进行身份验证而代码想要访问一个云服务API则需要提供accesskey来进行身份验证。如果accesskey泄露了我们便可以利用这个accesskey来与云服务通信反弹个云主机的shell回来作为入口点慢慢往内打。下面文章是关于云原生安全中accesskey安全更加详细的论述阅读后可以对accesskey的概念有更深入的了解。https://www.freebuf.com/articles/web/287512.htmlhttps://www.freebuf.com/articles/web/255717.html云安全性差的风险未能建立和维护足够的云安全实践可能会导致各种不同类型的恶意攻击和意外违规。报告中引用的云安全漏洞示例涵盖了广泛的行业、组织和原因。无论网络犯罪分子选择利用安全错误配置、被盗凭证或设备、不安全的数据库、勒索软件还是其他渗透方法攻击都会使组织面临风险。这些云安全事件有可能给组织造成灾难性后果例如IP 被盗或丢失组织拥有的知识产权和其他敏感数据从产品规格到客户联系人信息可能会在云安全漏洞中被攻击者窃取、泄露、出售甚至销毁。时间和收入修复漏洞并完全恢复可能需要数年时间需要动用大量的公司劳动力和其他资源。这意味着可用于其他业务功能的资源更少。失去客户信任客户依赖组织来保护其敏感数据免受攻击。发生违规事件后公司可能很难重新获得客户群的信任。违反合规性许多监管实体提出的要求包括组织必须采取的保护敏感数据的具体步骤。未能满足这些要求的公司可能会受到罚款、法律诉讼和其他纪律措施。和解成本数据泄露会带来各种财务成本包括可能向敏感数据被泄露的人支付法律和解费用。云安全策略提示由于云服务的日益普及承担云安全性可能是一项艰巨的任务。通过使用具有不同配置、功能和能力的多种不同云解决方案组织必须确保在所有领域评估和实施云安全措施。云安全中一些最重要的考虑因素是用户和组配置了解和管理哪些用户和组有权访问哪些系统以及授予他们哪些权限至关重要。网络设置组织应考虑用于访问其系统和服务的端口和协议。关键系统服务状态所有关键服务例如审核和防火墙限制都应打开而所有非必要服务应禁用。特权登录和密码策略管理功能必须仅限于授权用户并且凭据策略应该足够强大以匹配数据的关键性。数据传输和恶意软件防护必须采取措施确保数据传输安全、可审计并免受恶意软件侵害同时制定补救和恢复计划并定期进行安全测试。基础设施发现和文档记录云资产的发现和文档记录应该自动化并且安全控制应该立即部署到新创建的系统中。审计和报告组织应该能够为所有系统的安全生成审计报告即使是新部署的系统。OWASP cloud top10OWASP /kstgOWASP/Container-Security-Verification2023 年云安全面临的主要挑战尽管许多组织多年来一直在使用基于云的解决方案但他们通常仍然难以正确监控、管理和保护其基于云的基础设施。事实上根据Check Point 的 2023 年云安全报告76% 的组织担心或极其担心其云环境的安全性24% 的组织在去年经历过云安全事件。到 2023 年这些是公司在尝试保护云部署时面临的一些最大挑战。配置错误59% 的云用户表示配置错误是主要的公共云安全威胁。在过去 12 个月内经历过安全事件的云用户中19% 的事件涉及错误配置的资源或帐户。由于特定于提供商的配置设置范围广泛错误配置仍然是一个重大的云安全挑战。不熟悉云环境的公司及其员工可能会意外地错误配置这些设置从而使云环境容易受到攻击。多云环境的盛行加剧了这个问题公司必须为多个不同的云提供商正确配置设置。云中的工作负载越来越多的公司将其工作负载转移到云端。到 2023 年39% 的组织将一半以上的工作负载存储在云中而上一年这一比例为 35%。在未来 12-18 个月内58% 的公司计划实现这一里程碑。工作负载向云的转变增加了云安全和访问管理的复杂性。分布在多个云环境中的更多工作负载需要复杂的权利网络以有效实现最小权限访问并最大限度地减少组织及其基于云的解决方案的潜在安全风险。敏感数据的泄露随着公司越来越多地迁移到云端这些环境包含大量敏感数据。对于 51% 的组织而言数据泄露被视为公共云的主要安全威胁过去 12 个月内 13% 的云事件涉及用户不当共享文件或数据。云环境特别容易受到敏感数据泄露的影响。它们是企业网络的组成部分可通过公共互联网直接访问使攻击者更容易搜索错误配置和其他漏洞。此外云环境旨在支持数据共享使用户很容易意外地与未经授权的用户共享文件或错误配置安全设置而导致数据暴露。多云安全大多数企业都采用了云计算绝大多数云用户都有多云部署。事实上87% 的组织拥有多云部署72% 的组织拥有跨越公共云和私有云基础设施的混合云。由于这些多云环境的复杂性以及需要正确配置各个云提供商的独特设置因此保护它们的难度要大得多。公司在保护多云环境时面临的一些主要挑战包括获得在所有环境中部署和管理解决方案所需的技能 (58%)确保所有环境中的数据隐私和保护 (49%)了解如何集成各种解决方案 (49%)了解服务集成选项 (45%)可见性和控制力有限44%云迁移虽然大多数公司都有现有的云足迹但许多公司正在将额外的资产转移到云中。云为组织提供了各种好处并且设计良好的安全云部署比传统的本地数据中心更具弹性、可扩展性和灵活性。然而将资产从本地转移到云的过程对于组织来说可能是一个重大的安全挑战。除了确保企业数据和应用迁移前后的安全外企业还需要设计安全的云迁移流程以确保这些资源在迁移过程中也受到保护。DevSecOps、CIEM 和统一安全管理的采用公司面临各种云安全挑战有一些流程和解决方案可以帮助他们管理这些安全风险。然而许多组织并未充分利用其能力。一些例子包括DevSecOpsDevSecOps 将安全性构建到自动化开发流程和管道中从而降低漏洞到达生产系统并被攻击者利用的风险。只有 19% 的公司拥有涵盖整个组织的全面 DevSecOps 计划。云信息权利管理(CIEM)CIEM 解决方案帮助组织跨云基础设施大规模管理权利和访问控制。只有 40% 的组织将 CIEM 集成为其云安全态势管理(CSPM) 解决方案的一部分。统一云安全管理 (UCSM)UCSM 解决方案将各种安全功能融合到单个解决方案和仪表板中使分析师能够更轻松地保持可见性并管理企业云安全状况。90% 的受访专业人士声称这对他们有中度到极大的帮助。云安全策略管理云安全策略定义组织用于管理访问、保护数据和维护云合规性的策略、过程和控制。这些政策的数量应相对较少且明确以避免疏忽或安全漏洞。然而许多公司的云环境中存在过多的安全策略。超过四分之一的企业拥有超过 20 项云策略这表明环境复杂很可能面临安全挑战。在另一个极端30% 的企业拥有 0-5 项云安全策略这表明他们可能没有正确管理云环境中的安全风险和合规责任。不安全的接口/APIAPI 在云中无处不在尤其是随着微服务和容器化应用程序变得越来越普遍。然而它们也可能带来重大的安全挑战正如 51% 的接收者指出的那样不安全的接口/API 是主要的公共云安全挑战。这些 API 问题可能源于多种不同的原因。在某些情况下公司拥有未正式记录的影子 API因此未正确涵盖在公司安全策略中。在其他情况下API 的设计方式可能不安全例如响应用户请求提供过多的、潜在敏感的数据。云配置云提供商提供一系列云原生工具和配置设置客户可以使用它们来配置和保护其云环境。62% 的组织使用这些云原生工具来管理其云基础设施配置。然而虽然这些工具很方便但跨复杂的多云环境包括本地和基于云的基础设施管理配置的需求可能会令人难以承受。事实上72% 的用户必须使用至少 3 个不同的仪表板来管理公司的云策略。在超过 10% 的情况下这个数字为 7 或更多。每个额外的仪表板都会降低效率和可见性并增加错误配置或安全漏洞使企业云容易受到潜在攻击的风险。公有云安全解决方案阿里云WAF产品自2016年发布以来历经多次产品迭代已更新至3.0版本。在接入方式上覆盖了代理、透明、服务化、混合云多云等多类接入方式并实现了云端统一管理与策略下发。在防御体系上基于云平台百万量级威胁情报及基于神经网络构造的多模态特征实现七层以上恶意流量自动化防御与主动对抗。此外阿里云WAF还为客户提供多场景下的BOT管理、API全生命周期管理、与多云安全产品协同联动防御等多类延展防护在各权威机构历年相关报告中不论是市场份额还是技术创新力均保持绝对优势。自2016年上线以来已发展出丰富的产品体系覆盖原生化、大流量、跨境等多样化场景诉求为客户提供海量防御带宽资源、基于自动防护算法优化和深度学习的AI智能防护、稳定高可用的弹性线路以及和云产品结合的流量调度能力。此外阿里云DDoS原生防护2.0版本还推出了中小企业普惠版通过释放技术红利降低企业安全用云成本。阿里云云安全中心以「All in One」的集成思路支持Agent和Agentless两种部署模式实现以公有云为依托的跨环境架构下企业的工作负载、容器、配置等全面风险管理先于威胁的运营与预防。在资产扫描上基于底座的一致性和开放性云安全中心无缝对接各类云资源并进行持续性的基线配置扫描。内置250威胁检测模型实时拦截主机、容器、工作负载面临的七类威胁并根据风险程度、资产位置、环境因素等维度综合评估排序有效减少报警噪音。在事后客户也可通过日志审计、事件分析进行自动化攻击溯源和原因分析通过细粒度管控有效拦截威胁集中式管理最大化提升运营效率。《IDC 中国云Web应用防火墙市场份额2022》《IDC 中国公有云抗DDoS市场份额2022》《IDC 中国公有云云工作负载安全市场份额2022》《IDC 中国公有云网络安全即服务市场份额2022》云安全之安全虚拟化技术大起底原创 彭汝张 新华三主动安全2022-07-28 22:22发表于北本文收录于《问道安全》专刊一、背景介绍随着云计算和虚拟化的普及和深入软件定义正在成为行业企业和技术厂商追逐的热点。软件定义通过虚拟化将软件和硬件分离出来将服务器、存储和网络三大计算资源池化最终实现这些池化虚拟资源的按需分割和重新组合。在云安全领域通过安全虚拟化技术实现安全资源池化、按需申请、动态扩容。实现安全产品的自动化、服务化。国内外安全厂商围绕安全虚拟化进行了多种尝试并且推出了各自的产品。二、安全虚拟化技术详解新华三在安全虚拟化上也有很多创新和实践下面对新华三使用的四种安全虚拟化技术Context、vSystem、NFV、安全容器化进行详细介绍。1、ContextContext是新华三硬件防火墙和负载均衡的虚拟化技术。通过虚拟化技术将一台物理防火墙划分成多台逻辑防火墙每台逻辑防火墙都是一个独立的Context。每个Context拥有自己专属的软硬件资源独立运行。图1 Context组网示意图如图1所示LAN 1、LAN 2和LAN 3是三个不同的局域网它们通过同一台防火墙Firewall连接到外网。通过虚拟化技术能让一台防火墙作为三台防火墙使用。在Firewall上创建三个ContextContext 1、Context 2、Context 3分别负责LAN 1、LAN 2、LAN 3的安全接入。LAN 1、LAN 2、LAN 3的网络管理员可以也只能分别登录到自己的防火墙进行配置、保存、重启等操作不会影响其它网络的使用其效果等同于LAN 1、LAN 2和LAN 3分别通过各自的防火墙Firewall 1、Firewall 2、Firewall 3接入Internet。在云场景下在云出口部署高性能硬件防火墙通过为每个租户创建Context就可以实现云上防火墙服务。2、vSystemContext虚拟化技术虽然可以创建多台逻辑防护墙但是由于资源有限一台硬件防火墙最多能创建64个逻辑防火墙无法解决大量租户场景的需求。为了虚拟出更多的逻辑防火墙新华三推出了vSystem虚拟化方案。为实现海量vSystem的构建vSystem技术在如下几个方面取得了突破。1管理虚拟化vSystem技术为所有非缺省vSystem创建了独立的管理接口包括命令行CLI界面、Web界面和NETCONF接口。这些接口的展现形式和使用方式与物理设备本身的接口完全一致用户在使用这些接口时不用进行额外的操作这样就保证了vSystem的配置通用性和可维护性。另外vSystem技术通过两级管理体制实现了灵活的管理角色授权和清晰的管理权责划分。管理体制下包含如下两级管理角色根系统管理员和vSystem管理员。根系统管理员负责创建vSystem为vSystem分配资源以及创建vSystem管理员vSystem管理员负责vSystem内的配置和管理。2资源虚拟化根系统管理员可以将物理设备上的三层接口和VLAN资源按需分配给vSystem。当不同vSystem的使用需求出现变化时根系统管理员可以重新分配和协调这些资源实现资源利用最大化。对于非接口类的资源如安全策略、会话和吞吐量等资源以共享方式供所有vSystem使用。vSystem可根据自身业务的运行状况对表项和带宽资源进行灵活申请。为避免因某个vSystem占用了过多资源而使其它vSystem上的业务无法正常运行根系统管理员可以针对每个vSystem中的不同资源分别配置其可被使用的上限。3业务虚拟化vSystem技术通过一种特殊的方式实现了不同虚拟化实例下的业务隔离。其核心是在创建vSystem时同时创建一个同名VPN实例并将二者进行绑定。此vSystem的业务流量被严格限制在与其绑定的VPN实例内。这样一来设备将不同vSystem的业务报文视为不同VPN实例下的报文仅需要为每个业务启动一个进程便可以支持所有vSystem上该业务的运行。在配置层面不同vSystem的配置被保存在文件的不同区段中一个vSystem运行时不能越界获取其它vSystem的配置。物理设备重启后将按照区段分别恢复各个vSystem的配置信息。3、NFVNetwork Functions Virtualization网络功能虚拟化NFV是运营商为了解决电信网络硬件繁多、部署运维复杂、业务创新困难等问题而提出的。借助NFV服务提供商可以在标准硬件设备如X86服务器上运行网络功能。另外由于网络功能已虚拟化因此可以在单个服务器上运行多个功能。这就意味着所需的物理硬件得以减少故而可以进行资源整合以降低物理空间占用、功耗和总体成本。随着NFV的不断推广 H3C也推出了众多虚拟化安全产品如vFW、vLB、vWAF等。在这里插入图片描述图2 NFV实现软硬件解耦如图2所示以前在进行安全建设的时候需要购买不同厂商的硬件设备然后串联在一起使用如同烟囱式的结构。借助NFV技术将安全产品以虚拟机的形式部署在服务器上不需要购买专业的安全硬件大大节省了成本。NFV虽然实现了虚拟化但是由于是虚拟机形态需要包含操作系统是一种重量级的虚拟化。借助于容器技术实现了轻量化的虚拟化方案。4、安全容器化图3 虚拟机容器如图3所示在一台服务器上创建虚拟机的时候每台虚拟机都需要包含操作系统操作系统需要占用大量的计算资源容器技术由于复用宿主机的操作系统极大程度减少了资源浪费实现了在一台服务器上启动更多容器。随着容器技术推广与云原生技术的普及越来越多的应用使用容器化的部署方式。安全产品的容器化也随之应运而生。容器化的安全产品占用空间更少启动速度更快、支持在秒级部署容器化安全产品结合容器编排功能可以提供支持更多复杂场景的安全能力。三、结束语安全虚拟化技术为软件定义安全提供核心能力支持通过专用设备虚拟化、网络功能虚拟化以及安全产品容器化等众多虚拟化技术在节省资源的同时也实现了在不同场景下安全需求、保障了业务系统的正常运行AWS 安全性与 Azure 安全性最佳选择的较量Wiz 专家团队2025 年 3 月 12 日AWS 和 Azure 安全主要要点AWS 和 Azure 都提供强大的安全功能但它们的方法在集成、灵活性和偏好方面有所不同。得益于 Microsoft Entra ID 和 Microsoft Defender for CloudAzure 在身份管理、威胁检测和管理等关键类别中处于领先地位。AWS 和 Azure 在许多类别上有联系例如日志记录和合规性功能。您的选择取决于您当前的基础设施、安全优先级以及您的团队当前使用的工具。**云安全并不局限于 AWS 或 Azure——**组织需要云原生安全平台来获得更好的可视性、风险优先级排序和主动缓解威胁。虽然 Azure 和 AWS 都提供了一套安全功能但了解它们方法中的细微差别对于将您的云策略与您的特定业务目标保持一致至关重要。为了帮助您做出明智的决定我们对 AWS 和 Azure 安全性进行了全面的比较以便您可以选择能够与您的独特需求无缝集成的云提供商。切实可行的 AWS 安全最佳实践 [备忘单]该备忘单超越了基本的 AWS 安全最佳实践并提供了可操作的分步实施、相关代码片段和行业领先的建议以加强您的 AWS 安全态势。立即下载AWS 和 Azure 哪个更安全AWS 和 Azure 是市场上最顶尖的云提供商因为亚马逊和微软都提供广泛的云平台。由于这些提供商都提供高质量的安全功能因此您的决定主要取决于您已经使用的基础设施、组织的需求以及您计划如何管理云环境。无论您想要最灵活的选项来与现有工具集成还是更精细和安全的控制根据关键类别为您的组织选择合适的选项都至关重要。下面您将看到 AWS 和 Azure 最适合哪些安全类型的快照安全域优胜者身份和访问管理Azure日志记录和监控领带遵守领带威胁检测Azure安全态势管理Azure密钥管理和加密领带网络安全AWS现在让我们深入了解每种安全类型1.身份和访问管理身份和访问管理 (IAM)确保只有授权个人或系统才能访问云环境内的资源并且授权方只能访问他们需要的内容。AWS 和 Azure 都提供基于云的 IAM 解决方案您的组织可以对其进行配置以满足其要求。AWS IAMAWS IAM 角色定义您分配给特定角色的身份可以执行哪些操作。用户、组、应用程序或服务可以担任角色您可以创建 AWS IAM 策略来指定对特定 AWS 资源允许的操作。这些策略以 JSON 编写附加到用户、组或角色以实现细粒度访问。AWS IAM 基础知识来源主要特性和功能**身份联合**与使用 SAML 2.0、OAuth 2.0 和 OpenID Connect 等开放标准的本地身份系统集成**无缝集成**与 AWS IAM 或AWS IAM Identity Center配合使用实现跨云和本地环境的统一身份验证**高级访问控制**支持基于属性的访问控制实现更动态、更情境感知的安全策略**多因素身份验证 (MFA)**通过额外的身份验证层增强安全性**日志和服务集成**提供日志监控、安全事件跟踪和内置 AWS 服务兼容性以简化安全管理微软Entra IDMicrosoft Entra ID以前称为 Azure Active Directory是 Azure 的云 IAM 解决方案。要管理对 Azure 资源的访问您可以利用在 Microsoft Entra ID 中创建的身份来利用基于角色的访问控制 (RBAC)。RBAC 定义具有细粒度权限的角色、应用范围以及分配给每个角色的安全原则。安全主体可以是与应用程序相关联的用户、组或身份。您可以使用预定义的 Azure 角色例如所有者或贡献者或创建自己的自定义角色。主要特性和功能第一方身份生态系统使用Microsoft Entra Connect与 Microsoft Active Directory 集成实现身份同步**广泛的身份支持**支持 SAML、OpenID Connect 和 OAuth 2.0以兼容各种身份管理系统**自定义身份提供者集成**通过 Azure AD B2C 为第三方身份提供者启用自定义连接器**企业级安全性**提供 MFA、单点登录、条件访问和特权身份管理以增强保护**无缝服务集成**提供与 Azure 服务的内置 IAM 集成以简化身份管理优胜者**Azure 的 Microsoft Entra ID 胜出。**此工具对于使用 Active Directory 的组织非常有效因为它可以无缝集成。然而AWS 确实通过 ABAC、SCPS 和 STS 等细粒度访问控制为管理复杂的多云环境提供了更大的灵活性。2. 日志记录和监控AWS 和 Azure 都提供全面的日志记录和监控功能让客户能够深入了解托管工作负载的状态和健康状况。让我们看看它们是如何叠加的AWS CloudWatch 日志AWS CloudWatch 工作流AWS 通过 AWS CloudWatch Logs 提供全面的日志分析功能允许您暂存和查询从各种 AWS 资源收集的日志。需要注意的一点是查询功能可能非常有限可能需要与 AWS Elasticsearch 等其他工具集成才能进行高级分析。主要特性和功能审计日志AWS CloudTrail 记录对 AWS 资源的 API 调用的审计跟踪以确保可见性和合规性。应用程序诊断AWS X-Ray 跟踪并收集来自 AWS 托管的应用程序的性能数据。资源监控Amazon CloudWatch 整合并提供来自各种 AWS 资源的指标。**网络流量分析**虚拟私有云 (VPC) 流日志可提供对 Amazon VPC 之间流量的可见性以实现安全性和性能监控。Azure Monitor 日志Azure 利用 Azure Monitor Logs 作为日志分析的中心枢纽。借助它您可以运行强大的查询并进行深入分析以获得有意义的见解。您的团队还可以使用 Azure 来了解与 Azure 资源相关的活动。AWS CloudWatch 界面显示 Azure Monitor 中日志查询的工作流主要特性和功能性能监控Azure Diagnostics 收集用于故障排除和系统洞察的指标、日志和跟踪。应用程序洞察Azure Application Insights 提供深度性能分析、使用情况监控和调试报告。集中监控Azure Monitor 聚合并跟踪 Azure 以及多云和混合环境中的指标。网络诊断Azure 网络观察器为 Azure 虚拟网络 (VNet) 提供内置网络监视、流量分析和可视化。优胜者**这是平局。**安全团队发现 AWS CloudWatch Logs 更易于设置尤其是由于它与 SDK 和 API 的集成。同时Azure Monitor Logs 通过其 Kusto 查询语言提供更复杂的查询。3.合规性由于行业、地理位置和数据敏感度等因素每个组织管理合规性流程的方式都不同。虽然 AWS 和 Azure 都提供全面的合规性管理功能但选择它们取决于组织的特定需求和要求。AWS 的合规性功能AWS Config 的架构您可以将 AWS Organizations 与 AWS IAM 结合使用来管理和隔离多个账户。例如您可以使用 AWS Control Tower 服务来设计符合合规性最佳实践的 AWS 环境。主要特性和功能持续合规性监控AWS Config 会评估、审计和评价 AWS 配置以保持合规性。最佳实践建议AWS Trusted Advisor 提供资源优化和安全性改进的建议。监管合规性支持AWS Artifact 提供 GDPR、PCI DSS、HIPAA 等合规性报告和认证。Azure 的合规性功能为了在 Azure 中强制实施合规性策略Azure Policy 可帮助您实施预定义和可自定义的限制。Azure Blueprints 还允许您创建可重复使用的治理项目。您可以通过 Azure 管理组、订阅、资源组和资源将这些服务与资源层次结构一起使用。在 Azure Policy 中设置策略定义主要特性和功能持续合规性评估Azure Policy 强制执行规则和配置以保持符合行业标准。安全和合规性监控Microsoft Defender for Cloud 实时检测并标记不合规资源。法规合规性支持Azure 信任中心提供对领先合规性标准的审计报告和认证的访问权限。优胜者这是平局。AWS和 Azure 都拥有广泛的合规性框架例如 AWS Artifact 和 Azure Trust Center。这两个平台还使用 AWS Config、AWS Control Tower、Azure Policy 和 Microsoft Defender 等工具提供持续实施和合规性评估。巫师学院增强 Azure 安全性的 9 个最佳实践4.威胁检测AWS 和 Azure 中的威胁检测服务的选择取决于许多因素例如与现有服务的集成以及特定的威胁检测和报告要求。此外您应首先评估组织所需的补救功能。AWS 中的威胁检测AWS Config 可识别威胁行为者可能利用的不合规配置。不过您还应遵循 AWS Trusted Advisor 的建议来消除安全漏洞。为了动态防御威胁您可以使用 Amazon GuardDuty 等服务 - 它利用机器学习来分析来自各种来源的输入包括 VPC 流日志、DNS 日志和 CloudTrail 事件 - 来检测潜在威胁。主要特性和功能**合规性审计**使用 AWS Config 验证您的策略、资源和基础设施是否满足管理要求。**捕获未经授权实例的变化**在您的配置中查找未经授权的操作。**持续监控**实时跟踪您的 AWS 资源的配置。巫师学院2025 年 9 大 AWS 安全工具功能与局限性Azure 中的威胁检测Microsoft Defender for Cloud 通过评估资源来防止配置错误同时提供补救建议从而提供静态威胁检测。它还可以通过分析来自各种 Azure 资源、应用程序和网络流量的数据来提供实时动态威胁检测。您可以在 Microsoft Defender for Cloud 中手动配置补救措施也可以使用 Azure Logic Apps 自动执行补救措施。虽然 Azure 提供与第三方安全服务和用于威胁检测和报告工具的集成但其最大的优势之一是与现有 Microsoft 安全解决方案的集成。显示 Wiz 与 Microsoft Sentinel 集成仪表板的界面主要特性和功能**自动检测**您可以使用 Azure 进行机器学习它会自动发现异常以便您主动预防威胁。智能报告Azure 的威胁防护使用 Microsoft Defender for Cloud 和 Microsoft Sentinel 提供分析可以发现用户和云环境中的异常行为并帮助您发现新的威胁。**检测调整**微软不断使用算法分析客户数据并持续与安全研究人员合作以提高其整体安全性。优胜者**Azure 的威胁检测胜出。**由于其更先进的威胁检测功能Azure 比 AWS 更具竞争优势。然而AWS GuardDuty 也非常适合使用机器学习进行自动威胁检测。WIZ博客使用 Wiz 与 Microsoft Sentinel 集成增强您的云安全性5.安全态势管理云安全态势管理 (CSPM)是一组工具、流程和实践可帮助您维护和管理跨云基础设施、应用程序和数据的安全态势。让我们更仔细地看看 AWS Security Hub 与 Microsoft Defender for Cloud (以前称为 Azure Security Center)AWS 安全中心AWS Security Hub 通过检查安全最佳实践的状态、识别错误配置、创建警报以及跨 AWS 账户和区域执行自动安全威胁补救来提供云安全态势管理。它还可以根据行业标准安全基准例如 CIS 和 PCI检查您服务的配置。AWS Security Hub 的 CIS 控制主要特性和功能**混合安全集成**为 AWS Security Hub 中的本地和多云环境提供有限的支持**第三方安全集成**整合外部安全工具的发现创建统一的安全视图**情境感知威胁响应**通过附加情境增强安全发现以改进风险评估**自动修复**利用 Amazon EventBridge 触发对标记的安全事件的自动响应**集中式安全仪表板**提供来自多个来源的安全洞察的单一视图以简化监控和报告AWS 安全组最佳实践 [备忘单]下载 PDF适用于云的 Microsoft DefenderMicrosoft Defender for Cloud 是 Azure 的云安全态势管理服务。除了提供安全态势状态的可见性并标记错误配置外它还包括强化指导。虽然其中一些基础功能是免费的但微软还在 Defender CSPM 定价层中提供了合规性管理、攻击路径分析和高级威胁搜寻功能。主要特性和功能**跨云安全**使用 Microsoft Defender for Cloud 保护 Azure、AWS、GCP 和本地环境中的资源**监管合规性基准测试**使用行业安全标准对 AWS、GCP 和 Azure 执行合规性检查**集中式安全仪表板**提供跨多个环境的安全性和合规性状态的可见性**自动补救**利用 Azure Logic Apps 简化和自动化安全响应工作流程优胜者**Azure 的 Microsoft Defender for Cloud 胜出。**虽然 AWS Security Hub 作为 CSPM 平台可能受到限制但 Azure 的 Defender for Cloud 提供了多云安全性可实现灵活选择尤其是对于混合云环境。它还支持 AWS 工作负载。6. 密钥管理和加密密钥管理和加密可保护敏感数据并保护云存储信息的机密性和完整性。AWS 密钥管理服务AWS Key Management Service (KMS) 可让您创建加密密钥并管理其生命周期。KMS 还为各种 AWS 服务包括 AWS RDS、Amazon EBS 和 Amazon S3启用服务器端加密。您可以利用 AWS KMS 和 AWS 加密 SDK 来启用客户端加密。主要特性和功能**无缝 AWS 集成**与 AWS 服务本地集成以简化加密管理**密钥使用情况监控**通过 AWS CloudTrail 跟踪和审核加密密钥活动**自动密钥轮换**支持 AWS 管理密钥的自动轮换以及客户管理密钥的可选轮换Azure 密钥保管库Azure 的本机密钥管理服务 Azure Key Vault 允许您大规模创建、管理和存储加密密钥和机密。主要特性和功能- **全面加密**支持 Azure 存储、托管磁盘和 SQL 数据库的服务器端加密以及客户端加密 - **无缝 Azure 集成**可与 Azure 服务包括 Azure Monitor配合使用用于记录和审核密钥访问 - **自动密钥轮换**支持基于策略的密钥轮换以更好地控制加密密钥生命周期优胜者这是平局。Azure和 AWS 都支持自动密钥轮换、审计以及与云原生服务的集成。7.网络安全做出明智的云安全决策依赖于对 AWS 和 Azure 网络安全服务的清晰理解。让我们深入了解一下AWS 的网络安全AWS 使用 VPC 进行网络隔离。为了隔离云资源它提供了子网、路由表、安全组和网络访问控制列表等功能以控制不同组件之间的网络流量。主要特性和功能安全的服务访问AWS PrivateLink 可实现与 AWS 服务的私人连接无需接触互联网。Web 应用程序保护AWS WAF 可保护应用程序免受常见的漏洞和攻击。DDoS 缓解AWS Shield 提供托管的容量和应用程序层分布式拒绝服务 (DDoS) 保护。Azure 的网络安全Azure VNet 是一种逻辑网络结构可在 Azure 中提供网络隔离具有子网、路由表和网络安全组 (NSG) 等功能。NSG 和 Azure 防火墙共同控制 Azure 资源的入站和出站流量。主要特性和功能网络流量控制NSG 在网络接口和子网级别充当分布式防火墙。安全的服务访问Azure VNet 服务端点和 Azure Private Link 支持与 Azure 服务的私有连接。DDoS 缓解Azure DDoS Protection 通过分层保护计划保护应用程序免受 DDoS 攻击。优胜者**AWS 的网络安全胜出。**虽然这两个平台提供的价值可以说是相同的但 AWS VPC 对网络策略的细粒度控制及其附加工具提供了高级、可定制的网络安全以及强大的 DDoS 保护。然而Azure 确实提供了强大的防火墙和 DDoS 保护。总的说来谁是赢家大多数结果都差不多。您理想的安全基础设施取决于您如何构建云环境无论是使用 Azure 工具还是AWS 工具。不过Azure 在安全类别中主要以更全面、更灵活的功能取胜。无论如何云安全并不止于 AWS 和 Azure。您仍然需要实施最高质量的工具、最佳实践和管理来保护您的数据 - 您可以从选择云原生应用程序保护平台 ( CNAPP ) 开始。