随著(zhe)雲計算發(fā)展到涵蓋更多的企業應用程序、數據和流程，企業可能(néng)會(huì)選擇將(jiāng)其安全性服務外包給供應商。

一項行業調查顯示，許多企業都(dōu)需要注意安全問題，而不是將(jiāng)任務交給雲提供商。雲安全聯盟對(duì)241名行業專家進(jìn)行了調查，發(fā)現了一個“令人震驚的”雲安全問題。

該調查的作者指出，今年許多安全問題都(dōu)將(jiāng)安全責任指向(xiàng)了用戶企業，而不是依賴于服務提供商。我們注意到，傳統雲服務提供商在雲安全問題上的排名有所下降。諸如拒絕服務、共享技術漏洞、CSP數據丢失和系統漏洞等問題，這(zhè)些在以前都(dōu)是受關注頗高的安全問題，現在的排名則有所下降。這(zhè)些表明CSP負責的傳統安全問題似乎不那麼(me)令人擔憂。相反，我們看到了更多需要解決高級管理層決策所帶來的技術堆棧更高的安全問題。

這(zhè)與Forbes Insights和VMware最近的另一項調查結果一緻，該調查發(fā)現，部分公司正在極力避免將(jiāng)安全措施移交給雲提供商，隻有31%的領導者表示將(jiāng)安全措施移交給雲提供商。盡管如此，94%的公司在某些安全方面(miàn)采用了雲服務。

CSA的最新報告強調了今年的主要安全問題：

1. 數據洩露。報告的作者指出，數據正成(chéng)爲網絡攻擊的主要目标。定義數據的業務價值及其損失的影響對(duì)于擁有或處理數據的企業非常重要。此外，他們補充稱，保護數據正演變成(chéng)誰有權訪問數據的問題。加密技術可以幫助保護數據，但會(huì)對(duì)系統性能(néng)産生負面(miàn)影響，同時(shí)降低應用程序的用戶友好(hǎo)度。

2. 配置錯誤和變更控制不足。基于雲的資源非常複雜和動态，使得配置具有挑戰性。傳統控制和變更管理方法在雲中無效。公司應該采用自動化技術，并采用能(néng)夠持續掃描錯誤配置資源并實時(shí)修複問題的技術。

3. 缺乏雲安全架構和策略。确保安全架構與業務目标和目标保持一緻。開(kāi)發(fā)并實施安全架構框架。

4. 身份、憑據、訪問和密鑰管理不足。安全帳戶包括雙因素身份驗證和有限的根帳戶使用。對(duì)雲用戶和身份實行最嚴格的身份和訪問控制。

5. 賬戶劫持。這(zhè)是一個必須認真對(duì)待的威脅。深度防禦和IAM控制是減少賬戶劫持的關鍵。

6. 内部威脅。采取措施盡量減少内部疏忽，有助于減輕内部威脅的後(hòu)果。爲您的安全團隊提供培訓，以便正确安裝、配置和監視您的計算機系統、網絡、移動設備和備份設備。CSA還(hái)敦促“定期的員工培訓意識”。爲你的正式員工提供培訓，告訴他們如何處理安全風險，比如網絡釣魚，以及保護他們在公司外部筆記本電腦和移動設備上攜帶的公司數據。

7. 不安全的接口和API。保證良好(hǎo)的API。良好(hǎo)的做法包括對(duì)庫存、測試、審核和異常活動保護等項目進(jìn)行認真的監督。 此外，考慮使用标準和開(kāi)放的API框架(例如，開(kāi)放式雲計算接口(OCCI)和雲基礎設施管理接口(CIMI))。

8. 弱控制平面(miàn)。企業應該進(jìn)行詳盡的調查，并确定他們打算使用的雲服務是否擁有足夠的控制平面(miàn)。

9. 元結構和應用結構故障。雲服務提供商必須提供可見性和公開(kāi)緩解措施，以抵消租戶對(duì)雲的固有缺乏透明性。所有csp都(dōu)應進(jìn)行滲透測試，并向(xiàng)客戶提供結果。

10. 有限的雲使用可視性。降低風險始于從上到下開(kāi)發(fā)完整的雲可見性工作。要求全公司範圍内培訓公認的雲使用策略及其實施。所有未經(jīng)批準的雲服務都(dōu)必須經(jīng)過(guò)雲安全架構師或第三方風險管理人員的審核和批準。

11. 濫用和惡意使用雲服務。企業應該監控他們安排雲方面(miàn)工作的員工，因爲傳統機制無法減輕雲服務使用帶來的風險。