公共云已經(jīng)成為企業(yè)基礎(chǔ)設(shè)施戰(zhàn)略和創(chuàng)新交付的主要支撐。云計(jì)算的自助服務(wù)訪問、彈性、可擴(kuò)展性、快速部署以及以很少的前期成本訪問新的基礎(chǔ)設(shè)施和服務(wù)，加快了向市場的交付，并迅速被企業(yè)采用。

但采用公共云也帶來了安全風(fēng)險(xiǎn)。多租戶意味著攻擊面增加。即使是簡單的遷移，如果沒有重構(gòu)或適當(dāng)?shù)闹卫砘蚧A(chǔ)設(shè)施加固，也可能導(dǎo)致不受約束的支出、不安全和不合規(guī)的工作負(fù)載，以及潛在的安全漏洞風(fēng)險(xiǎn)。簡單地說，打開云賬戶并不等于數(shù)字化轉(zhuǎn)型。新的治理方法、新的協(xié)作模式和新的工作方式是成功采用云計(jì)算的基礎(chǔ)。

隨著新的云技術(shù)和服務(wù)的引入，云計(jì)算策略不斷變化和發(fā)展，因此，五年前的云安全策略已經(jīng)過時(shí)了。首席信息安全官們發(fā)現(xiàn)，他們的業(yè)務(wù)使用云的方式就像車輪上的門柱一樣不斷變化。云安全也必須以這種速度發(fā)展。

以下是首席信息安全官在2025年需要注意的一些最關(guān)鍵的云趨勢:

?保護(hù)云中的人工智能。生成式人工智能的沖擊意味著首席信息安全官組織也不得不轉(zhuǎn)向。黑盒人工智能模型缺乏透明度，易受偏見影響，道德考慮，可以利用開源模型的威脅行為者，以及擁有大量數(shù)據(jù)的人工智能模型，極大地增加了組織的攻擊面。首席信息安全官應(yīng)該解決以下三個問題:1)審查云管理人工智能服務(wù)的安全控制和治理;2)約定云提供商和你的安全團(tuán)隊(duì)之間的安全角色和責(zé)任;3)提高安全和更廣泛的云基礎(chǔ)設(shè)施團(tuán)隊(duì)的人工智能能力，以確保這些新服務(wù)的安全。

?云可持續(xù)性的工作負(fù)載安置。歐盟新的可持續(xù)發(fā)展報(bào)告要求迫使企業(yè)關(guān)注他們的碳足跡。北美公司也紛紛效仿。滿足可持續(xù)性需求的一種方法是將工作負(fù)載放在更具可持續(xù)性的可用性區(qū)域中。例如，這可能涉及到確保由太陽能或其他可再生能源供電的可用區(qū)優(yōu)先于由燃?xì)獍l(fā)電廠供電的可用區(qū)。云計(jì)算團(tuán)隊(duì)依靠云管理解決方案和碳足跡數(shù)據(jù)來確定工作負(fù)載的位置。工作負(fù)載安置建議通常只考慮兩個潛在的角度:最低成本或最低碳足跡。ciso可能會發(fā)現(xiàn)這些問題超過了數(shù)據(jù)主權(quán)問題，或者在沒有必要的安全控制的情況下將數(shù)據(jù)轉(zhuǎn)移到可用區(qū)域。首席信息安全官需要詢問他們的數(shù)據(jù)將駐留在哪里，并實(shí)現(xiàn)對敏感數(shù)據(jù)的控制，以避免打破安全需求的工作負(fù)載管理解決方案自動移動。

?主權(quán)和監(jiān)管要求。近年來，新的主權(quán)要求，如法國的SecNumCloud、Clouddeconfy和德國的云計(jì)算合規(guī)控制目錄(C5)，以及將數(shù)據(jù)保存在國內(nèi)的推動，創(chuàng)造了對私有云和主權(quán)云的更廣泛推動。特別是，歐盟和亞太地區(qū)國家一直試圖更多地利用非美國的云提供商，創(chuàng)建主權(quán)云，或?qū)⒐ぷ髫?fù)載留在本地。澳大利亞政府宣布投資20億澳元用于一個絕密的政府云。沙特阿拉伯的2030年愿景引入了嚴(yán)格的數(shù)據(jù)主權(quán)措施。在這樣的環(huán)境中操作的ciso知道他們需要滿足這些主權(quán)和法規(guī)指令，但必須在這與允許更廣泛的IT團(tuán)隊(duì)交付業(yè)務(wù)需要和想要的功能之間取得平衡。ciso應(yīng)該專注于確保他們了解哪些數(shù)據(jù)類型需要主權(quán)云服務(wù)，以懷疑的態(tài)度審查一些超大規(guī)模企業(yè)關(guān)于主權(quán)的聲明，并尋求只保護(hù)需要這種保護(hù)的數(shù)據(jù)，以保持業(yè)務(wù)的穩(wěn)定。