?根據(jù)451 Research近期云安全報(bào)告，在全球范圍內(nèi)云采用率尤其是多云采用率仍在上升。2021年，全球組織平均使用110個(gè)軟件即服務(wù)（SaaS）應(yīng)用程序，而2015年僅為8個(gè)，顯示出驚人的快速增長(zhǎng)。

多個(gè)IaaS提供商的使用明顯增加，近四分之三（72%）的企業(yè)使用多個(gè)IaaS提供商，高于前一年的57%。多提供商的使用幾乎翻了一番，五分之一（20%）的受訪者報(bào)告使用三個(gè)或更多提供商。

盡管云服務(wù)越來(lái)越普遍和使用，但企業(yè)對(duì)云服務(wù)日益復(fù)雜有著共同的擔(dān)憂，大多數(shù)（51%）的IT專(zhuān)業(yè)人員同意在云中管理隱私和數(shù)據(jù)保護(hù)更加復(fù)雜。此外，云之旅也變得越來(lái)越復(fù)雜，受訪者表示他們希望最簡(jiǎn)單的直接遷移的百分比從2021年的55%下降到目前的24%。

多云復(fù)雜性的安全挑戰(zhàn)

隨著復(fù)雜性的增加，對(duì)強(qiáng)大的網(wǎng)絡(luò)安全的需求也越來(lái)越大。當(dāng)被問(wèn)及他們的敏感數(shù)據(jù)存儲(chǔ)在云中的比例時(shí)，絕大多數(shù)人（66%）表示在21-60%之間。然而，只有四分之一（25%）的人表示他們可以對(duì)所有數(shù)據(jù)進(jìn)行完全分類(lèi)。

此外，近三分之一（32%）的受訪者承認(rèn)必須向政府機(jī)構(gòu)、客戶(hù)、合作伙伴或員工發(fā)出違規(guī)通知。這應(yīng)該引起擁有敏感數(shù)據(jù)的企業(yè)的關(guān)注，尤其是在高度監(jiān)管的行業(yè)中。

網(wǎng)絡(luò)攻擊還給云應(yīng)用程序和數(shù)據(jù)帶來(lái)了持續(xù)的風(fēng)險(xiǎn)。受訪者表示攻擊日益普遍，四分之一（26%）的受訪者表示惡意軟件增加，25%的受訪者表示勒索軟件增加，五分之一（19%）的受訪者表示網(wǎng)絡(luò)釣魚(yú)/捕鯨有所增加。

保護(hù)敏感數(shù)據(jù)

在多云環(huán)境中保護(hù)數(shù)據(jù)時(shí)，IT專(zhuān)業(yè)人員將加密視為一項(xiàng)關(guān)鍵的安全控制。大多數(shù)受訪者認(rèn)為加密（59%）和密鑰管理（52%）是他們目前用于保護(hù)云中敏感數(shù)據(jù)的安全技術(shù)。

然而，當(dāng)被問(wèn)及他們?cè)谠浦械臄?shù)據(jù)中有多少百分比是加密的時(shí)，只有十分之一（11%）的受訪者表示81-100%是加密的。此外，密鑰管理平臺(tái)蔓延可能是企業(yè)面臨的一個(gè)問(wèn)題。只有10%的受訪者使用一到兩個(gè)平臺(tái)，90%的受訪者使用三個(gè)或更多平臺(tái)，幾乎五分之一（17%）的受訪者承認(rèn)使用八個(gè)或更多平臺(tái)。

在保護(hù)云中的數(shù)據(jù)時(shí)，加密應(yīng)該是企業(yè)關(guān)注的優(yōu)先領(lǐng)域。事實(shí)上，40%的受訪者表示，他們能夠避免違規(guī)通知過(guò)程，因?yàn)楸槐I或泄露的數(shù)據(jù)被加密或標(biāo)記化，展示了加密平臺(tái)的有形價(jià)值。

隨著越來(lái)越多的公司依賴(lài)基于云的技術(shù)，特別是因?yàn)檫h(yuǎn)程工作如此普遍，確保系統(tǒng)安全且機(jī)密數(shù)據(jù)受到保護(hù)至關(guān)重要。使用云存儲(chǔ)不一定危險(xiǎn)，但企業(yè)應(yīng)該了解并了解如何預(yù)防一些安全漏洞。

一些最常見(jiàn)的云安全挑戰(zhàn)

1、數(shù)據(jù)泄露

一個(gè)關(guān)鍵的云安全風(fēng)險(xiǎn)是安全措施不佳，導(dǎo)致數(shù)據(jù)泄露。企業(yè)必須確保其在線存儲(chǔ)提供商保證完全保護(hù)，防止泄露或未經(jīng)授權(quán)訪問(wèn)個(gè)人和敏感數(shù)據(jù)。

云服務(wù)通常帶有可公開(kāi)訪問(wèn)的URL，用于上傳和下載文件;如果使用了不正確的安全控制，這可能會(huì)導(dǎo)致數(shù)據(jù)泄露。企業(yè)必須通過(guò)強(qiáng)鏈路加密和限制性訪問(wèn)來(lái)降低這種風(fēng)險(xiǎn)。

2、數(shù)據(jù)丟失

并非所有云服務(wù)提供商都具備在需要時(shí)處理生成備份的能力，這意味著如果企業(yè)不將其文件存儲(chǔ)在提供可靠備份的組織，則數(shù)據(jù)丟失是一種風(fēng)險(xiǎn)。

3、帳戶(hù)劫持

網(wǎng)絡(luò)犯罪分子可以獲取登錄信息以訪問(wèn)存儲(chǔ)在云中的敏感數(shù)據(jù)，并且已知會(huì)利用網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中的漏洞，因此最佳做法是使用經(jīng)常更改的強(qiáng)密碼。

4、內(nèi)部威脅

安全威脅不僅來(lái)自外部：有權(quán)訪問(wèn)敏感數(shù)據(jù)的管理員、開(kāi)發(fā)人員和其他受信任的員工可能會(huì)意外造成損害。培訓(xùn)您的員工如何正確使用云軟件至關(guān)重要。

5、不安全的接口

具有不安全API的云服務(wù)會(huì)威脅信息的機(jī)密性和完整性，并面臨數(shù)據(jù)和系統(tǒng)暴露的風(fēng)險(xiǎn)。通常，黑客將使用三種類(lèi)型的攻擊來(lái)嘗試破壞 API：暴力攻擊、拒絕服務(wù)攻擊和中間人攻擊。

6、無(wú)法控制存儲(chǔ)庫(kù)

通常幾乎無(wú)法控制數(shù)據(jù)的存儲(chǔ)位置;如果發(fā)生違規(guī)行為，甚至可能不知道它是否發(fā)生或在哪里發(fā)生。為了降低此風(fēng)險(xiǎn)，建議管理員了解每個(gè)位置的安全措施，并在上傳之前加密其數(shù)據(jù)。

云安全風(fēng)險(xiǎn)管理的最佳實(shí)踐

1、云滲透測(cè)試

云滲透測(cè)試應(yīng)定期進(jìn)行，作為企業(yè)風(fēng)險(xiǎn)管理策略的一部分，因?yàn)樗窃u(píng)估基于云的系統(tǒng)網(wǎng)絡(luò)安全強(qiáng)度的有效且主動(dòng)的方式。它像現(xiàn)實(shí)世界的黑客一樣探測(cè)云中的漏洞，以測(cè)試系統(tǒng)。

2、應(yīng)急計(jì)劃

確保在線存儲(chǔ)提供商有一個(gè)業(yè)務(wù)連續(xù)性計(jì)劃，其中概述了在任何嚴(yán)重緊急情況（如自然災(zāi)害或恐怖襲擊）的情況下保護(hù)存儲(chǔ)在其服務(wù)器中的信息的策略。您還應(yīng)該詢(xún)問(wèn)他們多久測(cè)試一次此計(jì)劃以確保一切正常。

3、數(shù)據(jù)安全審計(jì)

詢(xún)問(wèn)服務(wù)提供商是否對(duì)安全控制進(jìn)行例行審計(jì)，以保護(hù)最終用戶(hù)的個(gè)人數(shù)據(jù)和存儲(chǔ)在其網(wǎng)絡(luò)中的敏感文件；如果沒(méi)有，那么您可能需要尋找另一個(gè)云計(jì)算合作伙伴，他們可以提供有關(guān)其系統(tǒng)管理員實(shí)施的安全措施的完全透明度。

4、安全培訓(xùn)

還應(yīng)該詢(xún)問(wèn)云存儲(chǔ)提供商是否提供培訓(xùn)，以幫助教育員工了解云服務(wù)所涉及的潛在網(wǎng)絡(luò)威脅和安全風(fēng)險(xiǎn)。員工必須了解公司數(shù)據(jù)管理系統(tǒng)的內(nèi)部運(yùn)作，尤其是在避免對(duì)最終用戶(hù)的個(gè)人信息和遠(yuǎn)程存儲(chǔ)的文件進(jìn)行社會(huì)工程攻擊時(shí)。

了解安全服務(wù)詳情

請(qǐng)注意，許多服務(wù)提供商無(wú)法為客戶(hù)提供24/7全天候支持，每當(dāng)在辦公時(shí)間以外出現(xiàn)問(wèn)題時(shí)，這可能會(huì)非常令人沮喪。

注意

詢(xún)問(wèn)在線存儲(chǔ)提供商是否為其客戶(hù)提供24/7全天候技術(shù)支持，或者至少確保知道解決任何與服務(wù)相關(guān)的問(wèn)題的平均響應(yīng)時(shí)間。

毫無(wú)疑問(wèn)，云計(jì)算使企業(yè)能夠從任何地方虛擬訪問(wèn)其重要數(shù)據(jù)，而無(wú)需維護(hù)服務(wù)器。

注意

通過(guò)遠(yuǎn)程訪問(wèn)敏感和業(yè)務(wù)關(guān)鍵型數(shù)據(jù)，需要足夠的風(fēng)險(xiǎn)管理來(lái)防止黑客破壞云應(yīng)用程序。

了解云服務(wù)的風(fēng)險(xiǎn)和漏洞對(duì)于保護(hù)企業(yè)免受網(wǎng)絡(luò)犯罪分子的侵害至關(guān)重要。包含云滲透測(cè)試服務(wù)的網(wǎng)絡(luò)安全解決方案將大大有助于為關(guān)注其云安全性的企業(yè)提供更大的安心。

注意

云滲透測(cè)試可以為大多數(shù)云服務(wù)提供商識(shí)別和管理威脅監(jiān)控，并為企業(yè)提供詳細(xì)的威脅評(píng)估。

在注冊(cè)云提供商之前，應(yīng)該檢查他們是否提供您的業(yè)務(wù)所需的安全性。

注意

研究的越多，就越容易確定哪些公司提供滿足需求的最佳功能和安全性，以及哪些公司具有經(jīng)過(guò)驗(yàn)證的機(jī)密性記錄。

文章參考鏈接：

• *https://www.cloudcomputing-news.net/news/2022/jun/07/cloud-data-breaches-and-cloud-complexity-on-the-rise/
• *https://www.cloudcomputing-news.net/news/2022/aug/18/cloud-computing-security-risks/?