隨著數(shù)字經(jīng)濟的高速發(fā)展，企業(yè)數(shù)字化轉型持續(xù)加速，針對云環(huán)境的攻擊日益頻發(fā)，攻擊技術和方式也在不斷升級。伴隨著云服務模式的深化應用，細分領域和場景的安全實踐帶來了云安全市場需求的水漲船高。

據(jù)Gartner 2022年CIO技術執(zhí)行調查的結果顯示，有52%的企業(yè)將會在2022年增加云的投入，而有32%的企業(yè)會減少傳統(tǒng)基礎架構和數(shù)據(jù)中心的投入。此外，有46%的企業(yè)會增加網(wǎng)絡和信息安全的投入。由此可見，將有大部分中國企業(yè)在2022年增加對云安全的投入。

另外，在《Gartner中國云基礎設施和平臺服務市場指南》中，Gartner預測，2024年中國將有40%的最終用戶在系統(tǒng)的基礎設施和基礎設施軟件上的支出會轉至云服務。因此Gartner相信，云安全將成為中國安全和風險管理領導者最關鍵的任務之一。

Gartner認為，到2023年將有99%的云安全問題都是客戶的過錯導致，主流的云服務提供商出現(xiàn)重大安全事件的概率很小。Gartner還預測，到2024年利用云基礎設施和編程性，改進云上工作負載的安全保護將展現(xiàn)出比傳統(tǒng)數(shù)據(jù)中心更好的合規(guī)性，并減少至少60%的安全事件。由此可見，與傳統(tǒng)線下的基礎設施和平臺相比較，云上更安全。

然而，由于云安全與傳統(tǒng)的線下基礎設施平臺安全的不同，以及中國市場的獨特性，對于如何做好云安全，企業(yè)也面臨著諸多挑戰(zhàn)。

Gartner高級分析總監(jiān)高峰在接受采訪時表示，企業(yè)面臨的挑戰(zhàn)主要體現(xiàn)在以下三個方面：

Gartner高級分析總監(jiān) 高峰

· 對云安全責任分擔模型的理解和相關技能的缺失。理解云安全和云安全提供商的安全責任分工是云安全成功的必要條件。云安全所需要的技能與傳統(tǒng)的邊界安全有所不同，企業(yè)相對能力的缺失，使云安全面臨更大的挑戰(zhàn)。

· 在選擇云安全工具方面存在困難。因為非中國的云服務提供商 (CSP) 和安全供應商在中國的技術可用性存在差距，而本地供應商則將重點放在私有云上，以避免與公共云提供商競爭。

· 缺乏對云服務提供商持續(xù)的風險評估。許多中國企業(yè)沒有對云服務提供商進行系統(tǒng)的風險評估，不同的云服務提供商存在不同的風險，因此缺少持續(xù)的風險評估會讓企業(yè)的云上資產(chǎn)面臨安全威脅。

可見，成功的云安全需要透徹地了解云安全的責任共享模型，安全、技術、工具部署以及對云服務提供商的風險評估都非常重要。

針對以上挑戰(zhàn)，高峰提供了三個行動建議：

· 通過評估云共享責任模型，明確企業(yè)和云服務提供商的安全責任范圍，并建立云安全所需的能力。云安全是基于“責任公攤”的概念，因此企業(yè)需要根據(jù)部署模式的不同去相應的與云服務提供商分攤安全責任。

· 建立云安全架構，通過云原生優(yōu)先的方式利用第三方和開源工具實施安全控制，同時持續(xù)監(jiān)控其在中國的技術可用性。云提供商原生安全工具與云服務高度集成，采用云原生安全工具具有成本效應，而且部署簡單，并可快速滿足客戶的安全需求。第三方工具可以提供更多的個性化配置和服務。開源工具不僅具備成本效應，還提供更多的靈活性和創(chuàng)新性。此外，由于云共享了安全責任和云產(chǎn)品的復雜性，因此企業(yè)需要新的安全工具來實現(xiàn)云安全，例如云安全訪問代理（CASB）、云工作負載保護平臺（CWPP）以及云安全態(tài)勢管理（CSPM）等。

· 通過使用分層模型并利用安全認證對云服務提供商進行持續(xù)的風險評估。云服務提供商的風險不可忽視，風險評估的方法不同企業(yè)需要的投入和為其帶來的價值也不同。常用的方法包含云服務提供商的宣傳資料、雇傭第三方評估機構或咨詢機構、以及使用分層模型等。此外，云服務提供商是否具備相關的安全認證也是重要的參考依據(jù)。

他還強調，希望通過這些建議能讓客戶了解如何在中國實施云安全，讓企業(yè)的云上資產(chǎn)得到更好的保護。