對(duì)云計(jì)算運(yùn)營(yíng)相對(duì)陌生的公司正在努力在快速發(fā)展的環(huán)境中加強(qiáng)自己的全方位安全態(tài)勢(shì)。Searce公司高級(jí)總監(jiān)Vrinda Khurjekar強(qiáng)調(diào)了為什么這是必要的，以及企業(yè)如何做到這一點(diǎn)。

　　據(jù)Gartner公司預(yù)測(cè)，到2023年，全球最終用戶在公共云服務(wù)上的支出預(yù)計(jì)將增長(zhǎng)25%以上。在2022年以基礎(chǔ)設(shè)施即服務(wù)、平臺(tái)即服務(wù)和軟件即服務(wù)支出為主導(dǎo)的增長(zhǎng)20.4%。企業(yè)所有者喜歡增加的可伸縮性和操作效率、減少對(duì)物理系統(tǒng)的依賴、訪問(wèn)新技術(shù)和訂閱支付模式。

　　在過(guò)去5年快速大規(guī)模采用云計(jì)算的過(guò)程中，科技企業(yè)享受到了一種新的網(wǎng)絡(luò)安全意識(shí)，不再需要內(nèi)部部署的邊界進(jìn)行防御。然而，在2022年，45%的數(shù)據(jù)泄露發(fā)生在云服務(wù)中。隨著企業(yè)越來(lái)越多地轉(zhuǎn)向公共云、多云和混合云環(huán)境，保護(hù)云中的平臺(tái)和數(shù)據(jù)將需要迅速成熟，以跟上無(wú)處不在的網(wǎng)絡(luò)犯罪分子的步伐。

　　將靜態(tài)環(huán)境遺留下來(lái)的傳統(tǒng)安全措施應(yīng)用于云環(huán)境的公司將面臨失敗?？紤]到遷移到云平臺(tái)需要大量的變更管理資源，甚至在考慮數(shù)據(jù)安全之前，即將遷移或剛剛遷移到云服務(wù)的新公司可能會(huì)成為“設(shè)置并忘記它”安全方法的受害者。人們觀察到，新公司必須超越基礎(chǔ)，以確保組織免受頂級(jí)云漏洞的侵害，比如身份訪問(wèn)管理安全性不足、不安全的api和接口、配置錯(cuò)誤和變更控制不足。

　　基線安全只是保護(hù)云環(huán)境的第一步　　

　　基準(zhǔn)安全系統(tǒng)和措施內(nèi)置于AWS和IBMAzure等主要提供商的云服務(wù)中，這兩家公司加起來(lái)?yè)碛腥蛞话胍陨系脑苹A(chǔ)設(shè)施。這些領(lǐng)先提供商的核心安全基礎(chǔ)設(shè)施包括集中的、自動(dòng)化的和細(xì)粒度的控制，以便ciso可以管理和最小化操作、技術(shù)和安全風(fēng)險(xiǎn)。一家新公司在其云、虛擬私有云防火墻規(guī)則、正確配置的web應(yīng)用程序防火墻或API網(wǎng)關(guān)以及日志記錄和監(jiān)控儀表板中設(shè)置了聯(lián)邦身份和最低權(quán)限訪問(wèn)管理策略。

　　但是，雖然這聽起來(lái)像是對(duì)非技術(shù)執(zhí)行人員的廣泛保護(hù)，但這是最基本的覆蓋。例如，雖然日志記錄和監(jiān)視工具將提醒您注意活動(dòng)的威脅事件，但確定入侵的根本原因仍然是復(fù)雜和耗時(shí)的。優(yōu)化主要供應(yīng)商內(nèi)置的基本安全程序只是為科技公司創(chuàng)建安全著陸區(qū)以安全地開展業(yè)務(wù)的第一步。

　　超越安全著陸區(qū)的基線安全　　

　　云服務(wù)提供商在多個(gè)層面(存儲(chǔ)、網(wǎng)絡(luò)、應(yīng)用和用戶等)公開第一方和第三方的安全結(jié)構(gòu)。為了實(shí)現(xiàn)在云中開展業(yè)務(wù)的“安全著陸區(qū)”，公司應(yīng)該解決云提供商的安全漏洞，以防止某些漏洞，如SQL注入、跨站點(diǎn)腳本、DoS和暴力攻擊。如前所述，公司需要更先進(jìn)的日志記錄和監(jiān)控，以便能夠自動(dòng)檢測(cè)和分析威脅事件，并測(cè)量和評(píng)估與數(shù)據(jù)、應(yīng)用程序和基礎(chǔ)設(shè)施相關(guān)的行為。

　　對(duì)于最近剛接觸云計(jì)算的成長(zhǎng)型科技公司來(lái)說(shuō)，他們可能已經(jīng)在安全方面解決了一兩個(gè)緊迫的需求，但遠(yuǎn)遠(yuǎn)沒有建立一個(gè)堅(jiān)實(shí)的全面防御態(tài)勢(shì)。更高級(jí)的安全姿態(tài)包括云裝甲，從web應(yīng)用程序防火墻的角度了解正在發(fā)生的事情，以及安全指揮中心，以聚合來(lái)自不同地方的不同信號(hào)，并能夠深入調(diào)查它們。

　　此外，公司應(yīng)該評(píng)估他們的云基礎(chǔ)設(shè)施和軟件供應(yīng)鏈，以分析安全漏洞，找出代碼本身的弱點(diǎn)，黑客可以在這些弱點(diǎn)中發(fā)現(xiàn)漏洞。他們應(yīng)該確保所有這些安全框架都制度化到他們的代碼庫(kù)中。

　　評(píng)估和重新評(píng)估以領(lǐng)先于日益復(fù)雜的云計(jì)算環(huán)境　　

　　截至2022年，60%的企業(yè)數(shù)據(jù)(打開一個(gè)新窗口)存儲(chǔ)在云中。數(shù)據(jù)泄露給公司造成了巨額損失，包括違規(guī)處罰和業(yè)務(wù)中斷，破壞了公司聲譽(yù)，損害了客戶的信任。大量業(yè)務(wù)向云計(jì)算遷移意味著我們必須盡快加強(qiáng)我們的云安全?，F(xiàn)在是科技公司評(píng)估或重新評(píng)估云安全態(tài)勢(shì)的時(shí)候了。

　　由于云技術(shù)正在推動(dòng)物聯(lián)網(wǎng)、人工智能、無(wú)人駕駛汽車、區(qū)塊鏈和元宇宙等其他主要技術(shù)的擴(kuò)展和改進(jìn)，數(shù)字攻擊面將繼續(xù)擴(kuò)大，創(chuàng)造更多需要防御的數(shù)字領(lǐng)域。多云和混合云模型的發(fā)展趨勢(shì)增加了復(fù)雜性，增加了一致管理配置和治理的挑戰(zhàn)。

　　盡管科技公司和云提供商采用了一種共同責(zé)任模式(客戶責(zé)任+服務(wù)提供商責(zé)任)，但企業(yè)安全負(fù)責(zé)人將網(wǎng)絡(luò)安全視為保護(hù)企業(yè)的數(shù)據(jù)和身份、設(shè)備和應(yīng)用程序的唯一責(zé)任是有利的。