云计算拯救了很多企业，因为它可以迅速调整以支持更大规模的工作以及更多的在线用户。随着 2023 年的到来，宏观经济逆风聚集，它将更加具有吸引力，这归功于它更高的业务敏捷性和更优的成本效率比。Gartner 预测，到 2023 年，全球公有云服务市场将同比增长近 21%，达到 5920 亿美元。

然而，随着越来越多的应用和数据迁移到云的同时也扩大了企业的攻击面，管理云安全变得更具挑战性。因此，合理的云安全策略设计成为重中之重。

云中的挑战

许多公司在考虑把他们的应用迁移到云上时时常犯的错误是认为可以以与对待本地环境类似的方式来对待云上的安全。在考虑这件事情之前，需要了解很多会发生在云上的安全挑战。其中包括：

1.人为错误

这可能是一个最大的威胁。事实上，Gartner 就支出云配置错误是最常见的漏洞。公司内部云安全技能的下降使得这种情况普遍发生。据 IBM 称，云配置错误现在占云安全事件的 15% 。

2.复杂性是安全的敌人

在云安全中这是一个不争的事实。估计 92% 的企业拥有多云战略，80% 的企业正在投资混合云。这就需要同时来管理多个云计算环境，可能每个环境都有不同的安全和策略的要求。

3.DevOps 加速了云应用的开发

这有助于现代企业在内部和外部同时创造价值。但是大多数团队使用的第三方开源组件通常包含漏洞。据统计，平均每个应用程序开发项目包含 49 个漏洞。许多网络罪犯都做好了利用这些漏洞的准备。

4.访问控制

弱密码或缺乏多因素身份验证 (MFA) 等访问控制的失误可能会使勒索软件和数据窃贼获得对云数据和网络的未授权访问。

5.不安全的 API

不安全的 API 直接连接到敏感的业务数据。但是错误的配置和不充分的身份验证可能会将这些数据暴露给任何有互联网连接的人。

建立成功的安全策略

虽然挑战颇多，但企业可以做很多事情来重新应对云的风险。许多企业并不知道根据责任共担模型，云提供商只会保护整个云环境的一小部分。数据、应用等是客户的责任。

可以考虑采用以下几点来应对：

云安全态势管理 (CSPM)：通过持续检测和修复策略合规性来帮助减少错误配置的风险。

云资产的监控和保护：提供对恶意和可疑行为的实时和自动洞察的解决方案，以及快速响应和遏制威胁的能力。自动监控在云中是必不可少的，因为虚拟机和容器等资产在不断变化。

实施零信任：零信任的口头禅：“永不信任，始终验证。” 典型元素包括网络分段、根据最小权限原则进行的严格访问控制以及内部监控。

严格审核供应商：在像云这样的高度分布式 IT 环境中，风险远远超出了传统的网络边界。因此，企业必须对潜在的云提供商进行尽职调查，同时还要不断评估和审计任何有权访问其云数据的合作伙伴或供应商。

保护数据：这是最重要的一点，企业不应该期望他们的安全控制可以做到在 100% 的时间内都有效。他们的对手实在是太多了，攻击面也十分之广。安全应该以数据为中心，应专注于保护最重要的东西：数据本身。毕竟这是大多数黑客在试图破坏云系统时所寻找的东西。

以数据为中心的安全

以数据为中心的安全需要围绕强加密或令牌化的应用而构建，以确保即使数据被访问、读取或泄露，它对攻击者也变得无用。

除了这些基础知识之外，企业还应在领域寻找可提供以下服务的可信赖合作伙伴：

1.支持所有主要云平台，包括 Aliyun、百度云、腾讯云、华为云、青云、火山云、ucloud、 AWS、Azure 和 Google Cloud 等

2.跨整个云环境的持续发现、分类和保护

3.随着业务的增长支持可扩展性

4.保格式加密，在保护数据的同时确保数据仍可用于基于云的分析和其他业务的增长

关于 HummerRisk

HummerRisk 是开源的云原生安全平台，以非侵入的方式解决云原生的安全和治理问题。核心能力包括混合云的安全治理和 K8S 容器云安全检测。

Github 地址：https://github.com/HummerRisk/HummerRisk

Gitee 地址：https://gitee.com/hummercloud/HummerRisk