隨著云計算技術(shù)的發(fā)展，上云已經(jīng)成為企業(yè)數(shù)字化轉(zhuǎn)型的必選項。面對不同的業(yè)務(wù)需求，同時為了數(shù)據(jù)保護、監(jiān)管等要求，大部分企業(yè)都會選擇多云架構(gòu)，這就使得企業(yè)內(nèi)部的云架構(gòu)變得越來越復(fù)雜，管理難度也越來越大。隨之而來，第三方風(fēng)險正在讓企業(yè)的云安全管理變得舉步維艱。

根據(jù)IDC 近期發(fā)布的一份市場預(yù)測表明，亞太地區(qū)的公有云服務(wù)市場總值將于 2026 年達到 1536 億美元，該數(shù)字十分驚人，因而各公司面臨填補其云基礎(chǔ)架構(gòu)缺口的壓力。尤其是第三方風(fēng)險可能對企業(yè)構(gòu)成實質(zhì)性威脅。

不難發(fā)現(xiàn)，亞太地區(qū)即是公有云服務(wù)的重要市場，又是安全風(fēng)險防御最高的戰(zhàn)場。筆者認為，面對未來存在的不確定巨大安全挑戰(zhàn)，以及第三方風(fēng)險的不斷增加，企業(yè)必須重新審視面臨的安全隱患，構(gòu)建更加穩(wěn)健的安全防御系統(tǒng)，才能確保云中業(yè)務(wù)和數(shù)據(jù)的絕對安全。

第三方風(fēng)險正在威脅企業(yè)的云安全管理

企業(yè)在完成云架構(gòu)轉(zhuǎn)型之后，云服務(wù)提供商、供應(yīng)商、合作伙伴等都成為業(yè)務(wù)生態(tài)系統(tǒng)中最基本組成部分，這就意味著企業(yè)面臨著來自于更多方面的安全風(fēng)險。

眾所周知，企業(yè)在本地構(gòu)建的數(shù)據(jù)中心往往都有著比較明確的網(wǎng)絡(luò)邊界，并通過實施安全控制措施（如防火墻）來保護這些邊界。上云之后，由于基礎(chǔ)設(shè)施是分布式的，很多業(yè)務(wù)和數(shù)據(jù)會存儲在公共基礎(chǔ)設(shè)施之上，這就意味著企業(yè)不可能完全實現(xiàn)安全控制，存在的安全風(fēng)險也就更高。

根據(jù)IBM《2023年數(shù)據(jù)泄露成本報告》顯示，2023年數(shù)據(jù)泄露的全球平均成本上升至445萬美元，達到歷史新高，比2022年的435萬美元增加了2.3%，比2020年的386萬美元增加了15.3%。其中，67%的數(shù)據(jù)泄露事件是由良性第三方或攻擊者自己報告的。

Akamai 云計算產(chǎn)品線首席技術(shù)官 Jay Jenkins

“盡管絕大多數(shù)亞太地區(qū) (APAC) 企業(yè)將云視為其戰(zhàn)略的關(guān)鍵，但許多企業(yè)發(fā)現(xiàn)自己成了數(shù)據(jù)丟失以及從惡意軟件到分布式拒絕服務(wù)等各種網(wǎng)絡(luò)攻擊的受害者?！?/span> Akamai 云計算產(chǎn)品線首席技術(shù)官 Jay Jenkins表示，隨著攻擊者獲得的信息越來越敏感，可能會讓個人客戶面臨威脅。公司需要警惕各類不同程度的威脅，無論是竊取高級客戶信息、姓名和地址，還是財務(wù)信息，都需警惕被竊。

對于現(xiàn)代化企業(yè)而言，雖然供應(yīng)鏈存在著固有的安全風(fēng)險，但它也是企業(yè)成功的關(guān)鍵要素，因此關(guān)閉第三方運營就等于關(guān)閉企業(yè)運營。與此同時，由于現(xiàn)代化企業(yè)的安全策略要求安全團隊必須實現(xiàn)從安全監(jiān)督者向業(yè)務(wù)推動者的角色轉(zhuǎn)變，這就意味著IT管理者需要在不降低業(yè)務(wù)性能，保證企業(yè)生產(chǎn)力的情況下保障安全性。對IT管理者而言，克服第三方業(yè)務(wù)與安全的困境極具挑戰(zhàn)性。

“遷移到云端的小型企業(yè)不一定會成為黑客攻擊的目標。然而，對于較大型云端企業(yè)來說，軟件本身可能會成為攻擊的目標。僅僅是使用這些服務(wù)，可能就會讓企業(yè)在不知不覺中面臨潛在攻擊。 ” Jay Jenkins認為，當(dāng)涉及到云使用方面的內(nèi)部治理時，理想情況下，團隊?wèi)?yīng)該有安全著陸區(qū)，以幫助他們在云中保持安全。將安全機制引入實際的軟件供應(yīng)鏈，確保從一開始就安全無虞，而不是事后才考慮安全問題和抵御攻擊者，這對于攻擊防御來說意義重大。

重構(gòu)穩(wěn)健系統(tǒng)成為防范潛在威脅的關(guān)鍵要素

大型企業(yè)和小型企業(yè)可以采取哪些措施來管理云環(huán)境并避免遭受網(wǎng)絡(luò)攻擊呢？筆者認為，要克服這些挑戰(zhàn)，企業(yè)首先必須放棄傳統(tǒng)安全思維模式下運營模式，重頭構(gòu)建穩(wěn)健的安全防御系統(tǒng)，才能阻止任何風(fēng)險或威脅，賦能業(yè)務(wù)可持續(xù)發(fā)展。

對于現(xiàn)代安全防御體系的構(gòu)建，Jay Jenkins也給出了三條實用建設(shè)。其一，要熟悉第三方供應(yīng)商認證。查看他們的安全認證，了解認證所代表的含義，并進行實際審查，這有助于發(fā)現(xiàn)其安全態(tài)勢方面存在的任何不一致情況。

其二，安全認證通常會附帶一個特定的服務(wù)列表。公司必須開展盡職調(diào)查，并了解他們可能使用哪些服務(wù)以及這些認證涵蓋其中的哪些服務(wù)。建議各公司對這些服務(wù)自行開展?jié)B透測試。公司還需要了解自己在這些領(lǐng)域以及對于第三方供應(yīng)商的風(fēng)險偏好。

其三，對于仍依賴防火墻等技術(shù)的企業(yè)來說，選擇使用基于服務(wù)的網(wǎng)絡(luò)可能會增強安全性、提高服務(wù)質(zhì)量并優(yōu)化系統(tǒng)。企業(yè)應(yīng)評估此類網(wǎng)絡(luò)的相關(guān)優(yōu)勢和風(fēng)險，并確保網(wǎng)絡(luò)與企業(yè)的整體業(yè)務(wù)和技術(shù)目標相一致。

其中，從基于機器的安全轉(zhuǎn)向基于服務(wù)的安全后，不論在第三方還是云端，公司都需要了解端點，包括不同的應(yīng)用程序編程接口 (API)，以及這些服務(wù)的托管位置。

Jay Jenkins強調(diào)，API 是現(xiàn)代軟件開發(fā)的重要組成部分，且越來越多地被眾多企業(yè)所采用。它們是不同系統(tǒng)之間彼此通信以及共享數(shù)據(jù)和功能的“橋梁”。但是，正如計算領(lǐng)域的其他方面一樣，API 安全保護也是企業(yè)非常關(guān)注的一個問題。

“雖然亞太地區(qū)的企業(yè)確實也認識到，提高安全性對于推動積極的業(yè)務(wù)成果至關(guān)重要，但找到合適的合作伙伴來提供一系列嵌入不同安全和深度防御層的產(chǎn)品和服務(wù)，這將成為應(yīng)對不斷演變的威脅形勢的關(guān)鍵所在。” Jay Jenkins如是說。