隨著數(shù)字經(jīng)濟(jì)的高速發(fā)展，企業(yè)數(shù)字化轉(zhuǎn)型持續(xù)加速，針對(duì)云環(huán)境的攻擊日益頻發(fā)，攻擊技術(shù)和方式也在不斷升級(jí)。伴隨著云服務(wù)模式的深化應(yīng)用，細(xì)分領(lǐng)域和場景的安全實(shí)踐帶來了云安全市場需求的水漲船高。

據(jù)Gartner 2022年CIO技術(shù)執(zhí)行調(diào)查的結(jié)果顯示，有52%的企業(yè)將會(huì)在2022年增加云的投入，而有32%的企業(yè)會(huì)減少傳統(tǒng)基礎(chǔ)架構(gòu)和數(shù)據(jù)中心的投入。此外，有46%的企業(yè)會(huì)增加網(wǎng)絡(luò)和信息安全的投入。由此可見，將有大部分中國企業(yè)在2022年增加對(duì)云安全的投入。

另外，在《Gartner中國云基礎(chǔ)設(shè)施和平臺(tái)服務(wù)市場指南》中，Gartner預(yù)測，2024年中國將有40%的最終用戶在系統(tǒng)的基礎(chǔ)設(shè)施和基礎(chǔ)設(shè)施軟件上的支出會(huì)轉(zhuǎn)至云服務(wù)。因此Gartner相信，云安全將成為中國安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者最關(guān)鍵的任務(wù)之一。

Gartner認(rèn)為，到2023年將有99%的云安全問題都是客戶的過錯(cuò)導(dǎo)致，主流的云服務(wù)提供商出現(xiàn)重大安全事件的概率很小。Gartner還預(yù)測，到2024年利用云基礎(chǔ)設(shè)施和編程性，改進(jìn)云上工作負(fù)載的安全保護(hù)將展現(xiàn)出比傳統(tǒng)數(shù)據(jù)中心更好的合規(guī)性，并減少至少60%的安全事件。由此可見，與傳統(tǒng)線下的基礎(chǔ)設(shè)施和平臺(tái)相比較，云上更安全。

然而，由于云安全與傳統(tǒng)的線下基礎(chǔ)設(shè)施平臺(tái)安全的不同，以及中國市場的獨(dú)特性，對(duì)于如何做好云安全，企業(yè)也面臨著諸多挑戰(zhàn)。

Gartner高級(jí)分析總監(jiān)高峰在接受采訪時(shí)表示，企業(yè)面臨的挑戰(zhàn)主要體現(xiàn)在以下三個(gè)方面：

Gartner高級(jí)分析總監(jiān) 高峰

· 對(duì)云安全責(zé)任分擔(dān)模型的理解和相關(guān)技能的缺失。理解云安全和云安全提供商的安全責(zé)任分工是云安全成功的必要條件。云安全所需要的技能與傳統(tǒng)的邊界安全有所不同，企業(yè)相對(duì)能力的缺失，使云安全面臨更大的挑戰(zhàn)。

· 在選擇云安全工具方面存在困難。因?yàn)榉侵袊脑品?wù)提供商 (CSP) 和安全供應(yīng)商在中國的技術(shù)可用性存在差距，而本地供應(yīng)商則將重點(diǎn)放在私有云上，以避免與公共云提供商競爭。

· 缺乏對(duì)云服務(wù)提供商持續(xù)的風(fēng)險(xiǎn)評(píng)估。許多中國企業(yè)沒有對(duì)云服務(wù)提供商進(jìn)行系統(tǒng)的風(fēng)險(xiǎn)評(píng)估，不同的云服務(wù)提供商存在不同的風(fēng)險(xiǎn)，因此缺少持續(xù)的風(fēng)險(xiǎn)評(píng)估會(huì)讓企業(yè)的云上資產(chǎn)面臨安全威脅。

可見，成功的云安全需要透徹地了解云安全的責(zé)任共享模型，安全、技術(shù)、工具部署以及對(duì)云服務(wù)提供商的風(fēng)險(xiǎn)評(píng)估都非常重要。

針對(duì)以上挑戰(zhàn)，高峰提供了三個(gè)行動(dòng)建議：

· 通過評(píng)估云共享責(zé)任模型，明確企業(yè)和云服務(wù)提供商的安全責(zé)任范圍，并建立云安全所需的能力。云安全是基于“責(zé)任公攤”的概念，因此企業(yè)需要根據(jù)部署模式的不同去相應(yīng)的與云服務(wù)提供商分?jǐn)偘踩?zé)任。

· 建立云安全架構(gòu)，通過云原生優(yōu)先的方式利用第三方和開源工具實(shí)施安全控制，同時(shí)持續(xù)監(jiān)控其在中國的技術(shù)可用性。云提供商原生安全工具與云服務(wù)高度集成，采用云原生安全工具具有成本效應(yīng)，而且部署簡單，并可快速滿足客戶的安全需求。第三方工具可以提供更多的個(gè)性化配置和服務(wù)。開源工具不僅具備成本效應(yīng)，還提供更多的靈活性和創(chuàng)新性。此外，由于云共享了安全責(zé)任和云產(chǎn)品的復(fù)雜性，因此企業(yè)需要新的安全工具來實(shí)現(xiàn)云安全，例如云安全訪問代理（CASB）、云工作負(fù)載保護(hù)平臺(tái)（CWPP）以及云安全態(tài)勢(shì)管理（CSPM）等。

· 通過使用分層模型并利用安全認(rèn)證對(duì)云服務(wù)提供商進(jìn)行持續(xù)的風(fēng)險(xiǎn)評(píng)估。云服務(wù)提供商的風(fēng)險(xiǎn)不可忽視，風(fēng)險(xiǎn)評(píng)估的方法不同企業(yè)需要的投入和為其帶來的價(jià)值也不同。常用的方法包含云服務(wù)提供商的宣傳資料、雇傭第三方評(píng)估機(jī)構(gòu)或咨詢機(jī)構(gòu)、以及使用分層模型等。此外，云服務(wù)提供商是否具備相關(guān)的安全認(rèn)證也是重要的參考依據(jù)。

他還強(qiáng)調(diào)，希望通過這些建議能讓客戶了解如何在中國實(shí)施云安全，讓企業(yè)的云上資產(chǎn)得到更好的保護(hù)。