越來越多的企業(yè)應用、數據和過程遷移到云端，最終用戶也越來越傾向于將自己的安全外包給云提供商。

行業(yè)調查表明，很多企業(yè)都認為需要自己掌控安全，而不是將最終責任交托給云提供商。咨詢了241位行業(yè)專家后，云安全聯盟(CSA)在其調查報告“Egregious 11”中列出了11個重大云安全問題。

這份調查報告的編撰者指出，今年很多緊迫問題的安全責任都推到了最終用戶公司身上，而不是依賴服務提供商解決?！拔覀冏⒁獾?，云服務提供商負責的傳統(tǒng)云安全問題的排名有所下降。上一份‘Treacherous 12’報告中出現的問題，例如拒絕服務、共享技術漏洞、云服務提供商(CSP)數據丟失和系統(tǒng)漏洞等，現在的排名都低到直接排除在本次報告之外了。這些問題的缺席表明，由CSP負責的傳統(tǒng)安全問題似乎不再那么令人擔憂。與之相反，高級管理層決策導致的安全問題，也就是技術棧更高層次上的的安全問題，則更有待我們解決?！?/p>

CSA的研究結果與Forbes Insights和VMware最近的另一項調查結果相符：積極主動的公司紛紛忍住將安全托付給云提供商的誘惑——僅31%的主管將很多安全措施交托給云提供商。但仍然有94%的受訪者采用云服務來處理某些安全事務。

最新的CSA報告凸顯了今年的主要問題

1. 數據泄露。“網絡攻擊的主要目標逐漸指向數據。對擁有數據或處理數據的企業(yè)而言，確定數據的商業(yè)價值和數據丟失的影響至關重要。此外，數據保護正演變成誰有權訪問數據的問題。加密技術有助于保護數據，但會對系統(tǒng)性能造成不利影響，同時還會降低應用的易用性?！?/p>

2. 錯誤配置和變更控制不足?！霸瀑Y源不僅相當復雜，而且高度動態(tài)，因而配置難度頗高。在云環(huán)境中，傳統(tǒng)的控制措施和變更管理方法不再有效。公司應積極實現自動化，采用各項技術持續(xù)掃描資源錯誤配置情況并實時修復問題?！?/p>

3. 缺乏云安全架構和策略?！按_保安全架構符合業(yè)務目標。開發(fā)并實現安全架構框架?！?/p>

4. 缺乏身份、憑證、權限和密鑰管理?！安捎秒p因素身份驗證和限制使用root賬戶等方式保護賬戶安全。對云用戶和云身份采取最嚴格的身份和訪問控制措施?！?/p>

5. 賬戶劫持。這是個必須嚴陣以待的威脅。“深度防御和身份與訪問管理(IAM)控制措施是緩解賬戶劫持的關鍵?！?/p>

6. 內部人威脅?！安扇〈胧┍M可能地減少內部疏忽有助于緩解內部人威脅造成的影響。為公司安全團隊提供培訓，使其掌握正確安裝、配置和監(jiān)測計算機系統(tǒng)、網絡、移動設備和備份設備的技能。此外，普通員工也需要進行安全意識培訓，要教會他們如何處理安全風險，比如怎樣應對網絡釣魚，以及如何保護他們存在筆記本電腦和手機上帶出公司的企業(yè)數據?！?/p>

7. 不安全的接口和API。“保持良好的API安全狀態(tài)。在這方面，可采取的良好實踐包括盡職監(jiān)督庫存、測試、審計和異?；顒臃雷o等項目。此外，不妨考慮采用標準的開放API框架(例如，開放云計算接口(OCCI)和云基礎設施管理接口(CIMI))?！?/p>

8. 弱控制平面?！霸瓶蛻魬撨M行盡職調查，確定自己打算使用的云服務是否擁有足夠的控制平面。”

9. 元結構和應用結構故障?！霸品仗峁┥瘫仨毺峁┛梢娦圆⒐_緩解措施，從而消解云計算固有的租戶透明度缺乏問題。所有云服務提供商都應執(zhí)行滲透測試并向客戶提供測試結果?！?/p>

10. 云使用可見性有限。“風險緩解始于自上而下的完整云可見性。要求在全公司范圍內就公認的云使用策略及其實施進行培訓。所有未核準云服務必須經過云安全架構師或第三方風險管理人員的審核和批準?！?/p>

11. 云服務濫用及惡意使用?！捌髽I(yè)應監(jiān)控其云端員工行為，因為傳統(tǒng)機制無法緩解云服務使用帶來的風險?！?/p>