在全球新冠疫情大流行期間，世界各地的企業(yè)組織紛紛將數(shù)字化建設(shè)的重點轉(zhuǎn)移到為遠(yuǎn)程員工和虛擬環(huán)境提供支持，因此云計算的建設(shè)和應(yīng)用得到了快速發(fā)展。而在此期間，一些非法攻擊者也看到了機會，針對云計算的網(wǎng)絡(luò)攻擊開始不斷增加。這讓很多企業(yè)管理者對云計算的應(yīng)用安全性產(chǎn)生了誤解。

對于企業(yè)組織來說，準(zhǔn)確認(rèn)清云應(yīng)用安全方面的事實和謊言是至關(guān)重要的，這將會直接影響其未來云化發(fā)展戰(zhàn)略的決策與執(zhí)行。在本文中，研究人員收集了目前關(guān)于云計算應(yīng)用安全性的五個誤區(qū)，并對其進行了分析和說明。

誤解1：云計算的本質(zhì)就是不安全的

自從企業(yè)組織開始向云上遷徙開始，許多科技類、行業(yè)類甚至安全類的專業(yè)媒體就一直在向公眾反復(fù)傳遞一種觀點，上云后會面臨更大的安全挑戰(zhàn)，云計算的本質(zhì)似乎就代表了不安全性。持有這種觀點的人，往往過分聚焦在云計算的一個特性：它實現(xiàn)了更廣泛的訪問和連接，可以從世界上任何地方通過互聯(lián)網(wǎng)訪問，所以很容易受到網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露等威脅。

其實，對于任何的信息化系統(tǒng)，完全保證安全都是不可能的。在傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)上，即便企業(yè)大量采用了加密、防火墻、IPS、WAF、DLP等安全防護措施，攻擊者也總有可能繞過這些防御措施，非法獲取到敏感數(shù)據(jù)。對于云計算應(yīng)用而言，其面對的安全威脅態(tài)勢和傳統(tǒng)信息化應(yīng)用并沒有明顯的差別。而且，相比很多企業(yè)普遍存在的專業(yè)安全運營能力不足，云服務(wù)提供商（CSP）更有能力和條件，確保底層計算設(shè)備不斷更新和加固，從而有效抵御各種可能的威脅。此外，目前主流的CSP均能夠提供各種內(nèi)置安全工具和能力，這大大簡化了企業(yè)云安全管理的難度。

事實上，今天的CSP在保護客戶云計算應(yīng)用安全方面投入了大量資金和人力，因此可以說，CSP通常采用了比一般企業(yè)組織更先進的安全措施。他們有專門的安全團隊，專職負(fù)責(zé)檢測和應(yīng)對安全威脅，并不斷改善云計算平臺的整體安全態(tài)勢。這些安全團隊會持續(xù)性地收集、研究最新的威脅情報，并不間斷地對云計算平臺安全威脅狀況進行監(jiān)控。

誤解2：CSP可以窺視企業(yè)的云上數(shù)據(jù)

關(guān)于云計算應(yīng)用的最大誤解之一，就是CSP可以不受制約地訪問和獲取客戶的云上數(shù)據(jù)。被媒體大量報道的云上數(shù)據(jù)泄露和非法訪問事件則不斷加劇了使用者的這一誤解，引發(fā)了企業(yè)對云計算應(yīng)用時的隱私性和數(shù)據(jù)安全擔(dān)憂。

一旦數(shù)據(jù)進入云端，客戶就幾乎無法控制數(shù)據(jù)，這確實會引發(fā)企業(yè)的擔(dān)心。但事實上，盡管CSP在向客戶提供云計算應(yīng)用服務(wù)時，有時會需要訪問客戶的云基礎(chǔ)設(shè)施，但他們的各種運營行為都會受到嚴(yán)格而廣泛的數(shù)據(jù)隱私法規(guī)約束，以確保用戶云上數(shù)據(jù)的機密性和安全性。此外，CSP還需要按照監(jiān)管機構(gòu)要求嚴(yán)格管理和保護云上的數(shù)據(jù)安全，主動應(yīng)對和降低數(shù)據(jù)泄露的風(fēng)險。

誤解3：實現(xiàn)云應(yīng)用安全太過昂貴

造成這種誤解的原因是，一些企業(yè)往往只關(guān)注了實現(xiàn)云應(yīng)用安全的初始成本，卻忽略云計算應(yīng)用的長期性好處及投入性價比。通過將云基礎(chǔ)設(shè)施和安全運營維護外包給CSP，企業(yè)組織可以在計算設(shè)備、軟件系統(tǒng)和安全人員配備上節(jié)省大量的資金投入。

此外，CSP還可以提供可靈活的可擴展性，讓企業(yè)更好適應(yīng)未來不斷變化的業(yè)務(wù)發(fā)展需求，從而實現(xiàn)對云計算資源的按需使用。當(dāng)企業(yè)組織與CSP合作時，他們可以依靠CSP的專業(yè)知識和系統(tǒng)化資源來獲得一流的安全性和災(zāi)備服務(wù)。避免了單獨評估、管理和維護這些服務(wù)時的人力和成本投入。

誤解4：只有大企業(yè)才能安全地使用云

對于很多中小企業(yè)組織來說，理解和使用云計算這樣的技術(shù)是有一個學(xué)習(xí)曲線的。因此會產(chǎn)生一種誤解，只有大企業(yè)才有條件安全的使用云計算。事實上，云計算具有足夠的應(yīng)用彈性，已成為各種規(guī)模企業(yè)都可以輕松應(yīng)用的重要技術(shù)。

對于中小型企業(yè)組織來說，云計算提供了各種各樣的服務(wù)，從基本文件存儲到大數(shù)據(jù)分析、數(shù)據(jù)安全、測試和開發(fā)等等。云還為中小型企業(yè)提供數(shù)據(jù)安全、威脅檢測和災(zāi)難恢復(fù)等安全性選項，其中很多能力在傳統(tǒng)模式下只有大公司才能投入建設(shè)并使用。因此，可以認(rèn)為云計算技術(shù)其實給很多中小型企業(yè)創(chuàng)造了一個和大型企業(yè)更加公平競爭的環(huán)境。

誤解5：云計算會面臨合規(guī)方面的挑戰(zhàn)

盡管近年來云計算技術(shù)在政府、金融、交通、能源等行業(yè)中迅速落地應(yīng)用，但也帶來了一個新的誤解，就是云計算技術(shù)難以符合目前的行業(yè)性法規(guī)和標(biāo)準(zhǔn)要求，會給企業(yè)帶來應(yīng)用合規(guī)方面的挑戰(zhàn)。由于擔(dān)心不合規(guī)的風(fēng)險，很多企業(yè)也擱置了向云上遷徙的計劃。

事實上，云計算具有更強大的安全措施和數(shù)據(jù)保護能力，可以幫助企業(yè)組織增強對法規(guī)和標(biāo)準(zhǔn)的遵從性。CSP在面向行業(yè)用戶提供云計算服務(wù)前，都會投入大量資源開展應(yīng)用的合規(guī)性建設(shè)，以確保其系統(tǒng)符合各種法規(guī)和標(biāo)準(zhǔn)（如HIPAA和GDPR）。

云技術(shù)通過提供數(shù)據(jù)管理和訪問的實時可見性，使企業(yè)能夠輕松跟蹤和監(jiān)控法規(guī)要求的合規(guī)性。該特性允許企業(yè)輕松識別和解決遇到了違規(guī)問題，從而降低違法風(fēng)險。