?很多企業(yè)普遍認(rèn)為，遷移到云端會(huì)擴(kuò)大攻擊面，因此，在云端存儲(chǔ)數(shù)據(jù)不如在本地存儲(chǔ)安全。 現(xiàn)在是時(shí)候消除這個(gè)誤解—還有其他誤解。

在疫情期間，隨著企業(yè)轉(zhuǎn)向通過(guò)遠(yuǎn)程方式訪(fǎng)問(wèn)應(yīng)用程序和數(shù)據(jù)，消除云安全 誤解變得更加迫切。 安全領(lǐng)導(dǎo)者可能會(huì)想要回到原來(lái)的安全狀態(tài)，即在定義良好的網(wǎng)絡(luò)邊界后將數(shù)據(jù)存儲(chǔ)在本地，但這并不是保護(hù)關(guān)鍵任務(wù)數(shù)據(jù)的最有效方法。

下面讓我們看看云安全性相關(guān)的誤解，并探討企業(yè)未來(lái)應(yīng)如何利用云資源。

隨著越來(lái)越多的服務(wù)遷移到云端，保護(hù)這種環(huán) 境變得非常重要。 隨著足跡的增加(最終用戶(hù)從分布式系統(tǒng)訪(fǎng)問(wèn)資源)，潛在的攻擊點(diǎn)激增，安全控制的實(shí)現(xiàn)不再集中在單個(gè)網(wǎng)絡(luò)網(wǎng)關(guān)內(nèi)。

對(duì)于這些擴(kuò)展的邊界，以數(shù)據(jù)為中心的零信任安全模型是正確的方法。 但是，這種轉(zhuǎn)變需要長(zhǎng)期的策略，不可能一夜之間就建立。 為建立有效的零信任模型，企業(yè)需要花費(fèi)時(shí)間來(lái)發(fā)現(xiàn)和建模企業(yè)的資產(chǎn)、執(zhí)行數(shù)據(jù)流映射、標(biāo)記數(shù)據(jù)以及現(xiàn)代化安全控制。 我們看到企業(yè)急于采用最嚴(yán)格的措施，并集成現(xiàn)代的基于云的系統(tǒng)與遺留的本地連接點(diǎn)，但是用戶(hù)常常最終被關(guān)鍵系統(tǒng)拒之門(mén)外，風(fēng)險(xiǎn)與生產(chǎn)力之間存在著嚴(yán)重的權(quán)衡。 例如，當(dāng)生產(chǎn)力影響我們的國(guó)家安全時(shí)，回滾的機(jī)會(huì)成本就會(huì)產(chǎn)生后果。

企業(yè)需要轉(zhuǎn)變理念，平衡云安全性與最終用戶(hù)體驗(yàn)以及任務(wù)連續(xù)性的需求。 如果我們假設(shè)某個(gè)企業(yè)將遭受攻擊(一種可能的情況)，那么重要的應(yīng)對(duì)措施就是可以多快地發(fā)現(xiàn)、糾正和消除威脅。

云環(huán)境中有各種各樣的功能可推動(dòng)企業(yè)IT投資。 例如，云端可集成高級(jí)機(jī)器學(xué)習(xí)和分析，這是本地軟件不可能實(shí)現(xiàn)的功能，因?yàn)檫@些技術(shù)需要巨大的計(jì)算能力。 但是，網(wǎng)絡(luò)安全經(jīng)常被忽視的是，如果企業(yè)沒(méi)有基本的網(wǎng)絡(luò)安全，不可能保持領(lǐng)先地位，而且企業(yè)會(huì)付出代價(jià)高昂。

網(wǎng)絡(luò)攻擊的不斷擴(kuò)散使得基本網(wǎng)絡(luò)安全比以往任何時(shí)候都更加重要。 Verizon在其2020年數(shù)據(jù)泄露調(diào)查報(bào)告中發(fā)現(xiàn)，網(wǎng)絡(luò)釣魚(yú)仍然是造成數(shù)據(jù)泄露的主要原因，其次是配置錯(cuò)誤。

如果企業(yè)能夠成功地確定優(yōu)先順序并加強(qiáng)以下領(lǐng)域，則企業(yè)將在云投資方面看到最顯著的投資回報(bào)率–即可見(jiàn)性和透明度。

? 電子郵件安全系統(tǒng)，可查找和阻止網(wǎng)絡(luò)釣魚(yú)攻擊;

? 強(qiáng)大的集中式和分布式防火墻控制措施，可將攻擊者拒之門(mén)外;

? 多因素身份驗(yàn)證和強(qiáng)大的訪(fǎng)問(wèn)控制，讓正確的人進(jìn)入;

? 自動(dòng)漏洞掃描、修復(fù)和維護(hù); 正確的自動(dòng)化工具，以確保一致的安全配置;

? 網(wǎng)絡(luò)安全策略，確定和評(píng)估風(fēng)險(xiǎn)，并確定關(guān)鍵資產(chǎn)。

如果企業(yè)的云計(jì)算 人才能夠不斷提高技能，并專(zhuān)注于增值活動(dòng)，那么企業(yè)將獲得優(yōu)勢(shì)。 這涉及將商品化服務(wù)外包給行業(yè)參與者，以充分利用新興功能和服務(wù)，并依靠云服務(wù)提供商(CSP)進(jìn)行創(chuàng)新以及擴(kuò)大安全性和問(wèn)責(zé)制。

現(xiàn)在，云服務(wù)提供商正在廣泛采用美國(guó)聯(lián)邦和行業(yè)標(biāo)準(zhǔn)來(lái)緩解風(fēng)險(xiǎn)，包括來(lái)自美國(guó)國(guó)土安全部、國(guó)防部和FedRAMP的標(biāo)準(zhǔn)。 在他們的服務(wù)中，云服務(wù)提供商是安全控制方面的專(zhuān)家;他們投入資源到安全性領(lǐng)域，這要比任何機(jī)構(gòu)或企業(yè)獨(dú)自投入的資源都多。 企業(yè)應(yīng)利用云服務(wù)的運(yùn)營(yíng)效率和有效性，尤其是當(dāng)托管和網(wǎng)絡(luò)管理等服務(wù)不是其核心任務(wù)重點(diǎn)領(lǐng)域時(shí)。

云安全需要共享責(zé)任模型。 企業(yè)在將安全運(yùn)營(yíng)的關(guān)鍵要素外包給云提供商以利用其安全優(yōu)勢(shì)的同時(shí)，還必須側(cè)重于全面保護(hù)圍繞云服務(wù)的應(yīng)用程序和平臺(tái)。

從理論上講，云環(huán)境應(yīng)該更具可見(jiàn)性，因?yàn)樗鼈兇罅坎渴鸹A(chǔ)架構(gòu)即代碼和API。 但是，實(shí)際上，與其云系統(tǒng)或供應(yīng)鏈(包括軟件和硬件)相比，很多企業(yè)對(duì)本地環(huán)境的情況具有更高的可視性，特別是當(dāng)它們擴(kuò)展到具有不同技術(shù)平臺(tái)的多個(gè)云環(huán)境中時(shí)。 這是個(gè)問(wèn)題。

在企業(yè)范圍內(nèi)對(duì)統(tǒng)一可見(jiàn)性進(jìn)行投資是值得花的錢(qián)。 當(dāng)企業(yè)考慮通過(guò)5G和IoT擴(kuò)展其云環(huán)境，并采用AI、機(jī)器學(xué)習(xí)和零信任應(yīng)用程序等創(chuàng)新技術(shù)時(shí)，這種可見(jiàn)性將為其奠定基礎(chǔ)。

對(duì)于保護(hù)云環(huán)境，除工具和技術(shù)投資外，策略和協(xié)議也起著至關(guān)重要的作用。 我們應(yīng)該這樣說(shuō)，隨著云計(jì)算的發(fā)展，治理比以往任何時(shí)候都更加重要。 治理設(shè)置防護(hù)欄，因此用戶(hù)和管理員清楚地知道什么是可接受的，以及如何在遠(yuǎn)程云環(huán)境中保持生產(chǎn)效率和安全性的。 隨著這種環(huán)境的發(fā)展，企業(yè)應(yīng)優(yōu)先考慮員工教育，包括有關(guān)下載未經(jīng)授權(quán)內(nèi)容、訪(fǎng)問(wèn)不安全網(wǎng)絡(luò)、適當(dāng)?shù)拿艽a管理以及處理丟失或被盜設(shè)備的培訓(xùn)。 員工教育可補(bǔ)充并加強(qiáng)基本的CSP保護(hù)，并進(jìn)一步增強(qiáng)云創(chuàng)新的基礎(chǔ)。

建立云安全并沒(méi)有捷徑。 在創(chuàng)建協(xié)議和鞏固安全模型時(shí)，企業(yè)(特別是需要維持關(guān)鍵任務(wù)的企業(yè))必須平衡任務(wù)和業(yè)務(wù)優(yōu)先級(jí)。 在云環(huán)境中，攻擊者確實(shí)有更多機(jī)會(huì)和切入點(diǎn)可以利用漏洞，并且需要跟蹤和監(jiān)視更大范圍的系統(tǒng)。 但是，如果企業(yè)正確管理云環(huán)境，企業(yè)將獲得安全自動(dòng)化、連續(xù)監(jiān)控和高級(jí)災(zāi)難恢復(fù)選項(xiàng)。 攻擊可能會(huì)發(fā)生，但是企業(yè)不能因此而退縮，企業(yè)應(yīng)著重于為應(yīng)對(duì)挑戰(zhàn)做好準(zhǔn)備，并提高對(duì)緩解風(fēng)險(xiǎn)的信心。