對云計算運營相對陌生的公司正在努力在快速發(fā)展的環(huán)境中加強自己的全方位安全態(tài)勢。Searce公司高級總監(jiān)Vrinda Khurjekar強調(diào)了為什么這是必要的，以及企業(yè)如何做到這一點。

　　據(jù)Gartner公司預測，到2023年，全球最終用戶在公共云服務上的支出預計將增長25%以上。在2022年以基礎設施即服務、平臺即服務和軟件即服務支出為主導的增長20.4%。企業(yè)所有者喜歡增加的可伸縮性和操作效率、減少對物理系統(tǒng)的依賴、訪問新技術和訂閱支付模式。

　　在過去5年快速大規(guī)模采用云計算的過程中，科技企業(yè)享受到了一種新的網(wǎng)絡安全意識，不再需要內(nèi)部部署的邊界進行防御。然而，在2022年，45%的數(shù)據(jù)泄露發(fā)生在云服務中。隨著企業(yè)越來越多地轉(zhuǎn)向公共云、多云和混合云環(huán)境，保護云中的平臺和數(shù)據(jù)將需要迅速成熟，以跟上無處不在的網(wǎng)絡犯罪分子的步伐。

　　將靜態(tài)環(huán)境遺留下來的傳統(tǒng)安全措施應用于云環(huán)境的公司將面臨失敗。考慮到遷移到云平臺需要大量的變更管理資源，甚至在考慮數(shù)據(jù)安全之前，即將遷移或剛剛遷移到云服務的新公司可能會成為“設置并忘記它”安全方法的受害者。人們觀察到，新公司必須超越基礎，以確保組織免受頂級云漏洞的侵害，比如身份訪問管理安全性不足、不安全的api和接口、配置錯誤和變更控制不足。

　　基線安全只是保護云環(huán)境的第一步　　

　　基準安全系統(tǒng)和措施內(nèi)置于AWS和IBMAzure等主要提供商的云服務中，這兩家公司加起來擁有全球一半以上的云基礎設施。這些領先提供商的核心安全基礎設施包括集中的、自動化的和細粒度的控制，以便ciso可以管理和最小化操作、技術和安全風險。一家新公司在其云、虛擬私有云防火墻規(guī)則、正確配置的web應用程序防火墻或API網(wǎng)關以及日志記錄和監(jiān)控儀表板中設置了聯(lián)邦身份和最低權限訪問管理策略。

　　但是，雖然這聽起來像是對非技術執(zhí)行人員的廣泛保護，但這是最基本的覆蓋。例如，雖然日志記錄和監(jiān)視工具將提醒您注意活動的威脅事件，但確定入侵的根本原因仍然是復雜和耗時的。優(yōu)化主要供應商內(nèi)置的基本安全程序只是為科技公司創(chuàng)建安全著陸區(qū)以安全地開展業(yè)務的第一步。

　　超越安全著陸區(qū)的基線安全　　

　　云服務提供商在多個層面(存儲、網(wǎng)絡、應用和用戶等)公開第一方和第三方的安全結(jié)構(gòu)。為了實現(xiàn)在云中開展業(yè)務的“安全著陸區(qū)”，公司應該解決云提供商的安全漏洞，以防止某些漏洞，如SQL注入、跨站點腳本、DoS和暴力攻擊。如前所述，公司需要更先進的日志記錄和監(jiān)控，以便能夠自動檢測和分析威脅事件，并測量和評估與數(shù)據(jù)、應用程序和基礎設施相關的行為。

　　對于最近剛接觸云計算的成長型科技公司來說，他們可能已經(jīng)在安全方面解決了一兩個緊迫的需求，但遠遠沒有建立一個堅實的全面防御態(tài)勢。更高級的安全姿態(tài)包括云裝甲，從web應用程序防火墻的角度了解正在發(fā)生的事情，以及安全指揮中心，以聚合來自不同地方的不同信號，并能夠深入調(diào)查它們。

　　此外，公司應該評估他們的云基礎設施和軟件供應鏈，以分析安全漏洞，找出代碼本身的弱點，黑客可以在這些弱點中發(fā)現(xiàn)漏洞。他們應該確保所有這些安全框架都制度化到他們的代碼庫中。

　　評估和重新評估以領先于日益復雜的云計算環(huán)境　　

　　截至2022年，60%的企業(yè)數(shù)據(jù)(打開一個新窗口)存儲在云中。數(shù)據(jù)泄露給公司造成了巨額損失，包括違規(guī)處罰和業(yè)務中斷，破壞了公司聲譽，損害了客戶的信任。大量業(yè)務向云計算遷移意味著我們必須盡快加強我們的云安全?，F(xiàn)在是科技公司評估或重新評估云安全態(tài)勢的時候了。

　　由于云技術正在推動物聯(lián)網(wǎng)、人工智能、無人駕駛汽車、區(qū)塊鏈和元宇宙等其他主要技術的擴展和改進，數(shù)字攻擊面將繼續(xù)擴大，創(chuàng)造更多需要防御的數(shù)字領域。多云和混合云模型的發(fā)展趨勢增加了復雜性，增加了一致管理配置和治理的挑戰(zhàn)。

　　盡管科技公司和云提供商采用了一種共同責任模式(客戶責任+服務提供商責任)，但企業(yè)安全負責人將網(wǎng)絡安全視為保護企業(yè)的數(shù)據(jù)和身份、設備和應用程序的唯一責任是有利的。