上云正在成為企業(yè)數(shù)字化轉(zhuǎn)型的必然趨勢，但也帶來了新的安全風(fēng)險。

近日，微軟云服務(wù)漏洞接連兩次被曝光，8月末，微軟Azure的旗艦產(chǎn)品Cosmos數(shù)據(jù)庫中被曝存在漏洞，黑客能夠通過該漏洞訪問、修改和刪除數(shù)千名 Azure 客戶的數(shù)據(jù)，9月上旬，微軟又發(fā)布一條關(guān)于 Azure 容器實(shí)例（ACI）服務(wù)的安全公告，稱發(fā)現(xiàn)了一個漏洞，使得同一個服務(wù)器集群中的用戶數(shù)據(jù)有可能相互泄露。

云安全風(fēng)險正在急劇擴(kuò)大，上云導(dǎo)致數(shù)據(jù)泄露的例子已然不少。根據(jù)IDC 2020年的一份調(diào)查報告顯示，在過去的18個月中，近80％的公司至少經(jīng)歷了一次云數(shù)據(jù)泄露，而43％的公司報告了10次或更多泄露。

云上配置非常復(fù)雜，對于上云的企業(yè)而言，僅僅依靠云平臺廠商所提供的安全服務(wù)是不夠的，還需要依靠一些補(bǔ)充的安全能力和服務(wù)

6成企業(yè)在云上需求激增 云安全問題不可忽視

企業(yè)上云已經(jīng)是大勢所趨。在過去的十年中，云服務(wù)的使用持續(xù)增長，尤其在發(fā)生疫情后，許多企業(yè)加速數(shù)字化轉(zhuǎn)型，以便讓員工能夠在家中工作

云安全聯(lián)盟（CSA）的一項(xiàng)報告顯示，2019年只有25%的企業(yè)在公共云中運(yùn)行41%或更多的工作負(fù)載，2021年，則有63%的受訪者預(yù)計將在公共云中運(yùn)行41%或更多的工作負(fù)載。

不過，上云以后，許多安全問題也暴露出來。上述報告指出，受訪者被要求選擇他們的組織在采用公有云時遇到的麻煩，最常選擇的回復(fù)是“網(wǎng)絡(luò)安全”。 據(jù)了解，云安全的首要擔(dān)心是數(shù)據(jù)丟失和泄露，其次是數(shù)據(jù)隱私和保密。

頻頻出現(xiàn)云安全問題，原因主要有三點(diǎn)。一是，云應(yīng)用本身的特點(diǎn)使得網(wǎng)絡(luò)攻擊面增大，例如遠(yuǎn)程辦公的員工在家、咖啡廳、網(wǎng)吧、機(jī)場等公共場所，而這些公共場所往往沒有采取足夠嚴(yán)格的網(wǎng)絡(luò)安全措施，很容易被網(wǎng)絡(luò)犯罪分子所利用，竊取受害者的賬號、密碼，誘騙其點(diǎn)擊非法鏈接，種植木馬，進(jìn)而實(shí)現(xiàn)監(jiān)控其電腦，并通過其個人電腦發(fā)起對企業(yè)敏感數(shù)據(jù)的攻擊、竊取等。

二是，上云以后，企業(yè)的IT環(huán)境變得異常復(fù)雜，企業(yè)的應(yīng)用可能分布在公有云、私有云、數(shù)據(jù)中心等多個地方，缺乏統(tǒng)一的安全管理措施，傳統(tǒng)安全防御體系無法滿足云的彈性需求，多云環(huán)境下缺乏有效的安全手段，從而導(dǎo)致不斷出現(xiàn)新的安全孤島，暴露面增大，顧此失彼，數(shù)據(jù)泄露頻繁發(fā)生。

三是，企業(yè)缺乏專業(yè)安全人員，傳統(tǒng)安全維護(hù)團(tuán)隊往往缺乏云上的安全經(jīng)驗(yàn)。企業(yè)上云后，云上業(yè)務(wù)系統(tǒng)的管理直接在互聯(lián)網(wǎng)上進(jìn)行，很可能一個管理員的誤操作都會導(dǎo)致特權(quán)賬號暴露被攻擊。大量的云上的安全問題都因?yàn)椴僮魇д`或配置錯誤導(dǎo)致，安全人才的缺乏將延緩企業(yè)上云進(jìn)程。

企業(yè)如何保障自身上云安全？無論在選擇公有云、自建私有云，或者大多數(shù)企業(yè)采用的混合云的方式時，企業(yè)都需要選擇可信的合作伙伴。

首先，企業(yè)需要理解公有云的責(zé)任共擔(dān)模型，審查云供應(yīng)商的具體合作服務(wù)條款和保障；其次，企業(yè)要加強(qiáng)安全培訓(xùn)，了解云安全風(fēng)險，增強(qiáng)自身安全風(fēng)險意識；另外，要控制用戶的訪問權(quán)限，保護(hù)用戶終端，保持云服務(wù)的安全可見性，對敏感數(shù)據(jù)加密等，需要構(gòu)建其整體云安全戰(zhàn)略框架及執(zhí)行策略；最后，結(jié)合自身安全能力，選擇高水平的安全合作伙伴，共同構(gòu)建云時代的安全防御體系。

數(shù)字化浪潮下，上云成為企業(yè)數(shù)字化轉(zhuǎn)型的必然選擇，但也對企業(yè)提出了新的安全挑戰(zhàn)，此時，安全廠商理應(yīng)承擔(dān)起更多責(zé)任，為企業(yè)上云安全保駕護(hù)。