從 2020 年到 2025 年，云計(jì)算行業(yè)預(yù)計(jì)將增長(zhǎng)一倍以上，而且很明顯，云服務(wù)只會(huì)繼續(xù)在我們的生活中扮演越來(lái)越重要的角色。云計(jì)算可以幫助組織提高生產(chǎn)力，更快地將產(chǎn)品推向市場(chǎng)，并降低成本而不會(huì)對(duì)性能產(chǎn)生負(fù)面影響。

話雖如此，云計(jì)算和其他云服務(wù)引入了利益相關(guān)者可能沒(méi)有意識(shí)到的各種云安全風(fēng)險(xiǎn)。在本文中，我們將探討 2021 年及以后需要關(guān)注的一些主要威脅。簡(jiǎn)單地識(shí)別這些漏洞是開發(fā)更有效的云安全實(shí)踐的第一步。

合規(guī)性

各個(gè)領(lǐng)域的敏感數(shù)據(jù)都受到廣泛的監(jiān)管，即使是看似微不足道的問(wèn)題也可能導(dǎo)致重大處罰。這些規(guī)定包括從涵蓋學(xué)生私人信息的 FERPA 到規(guī)定患者健康信息的經(jīng)常被誤解的 HIPAA 的所有內(nèi)容。

如果發(fā)現(xiàn)您的組織不合規(guī)，您可能會(huì)被處以罰款甚至刑事處罰。例如，HIPAA 規(guī)定，對(duì)于嚴(yán)重違規(guī)行為，每次違規(guī)最高可處以50,000 美元的罰款。刑事訴訟仍然相對(duì)不常見，但在過(guò)去幾年中變得越來(lái)越普遍。

觀眾信任

丟失數(shù)據(jù)本身就已經(jīng)夠糟糕了，但降低受眾信任度的影響可能更為重要。失去客戶信任的公司通常會(huì)花費(fèi)數(shù)年甚至數(shù)十年的時(shí)間來(lái)重建聲譽(yù)，并可能因監(jiān)管不力而錯(cuò)失數(shù)萬(wàn)筆銷售。

例如，Target 在 2013 年備受關(guān)注的數(shù)據(jù)泄露事件后，其季度利潤(rùn)損失了近 50%。雖然它最終達(dá)到了以前的高度，但無(wú)論怎么強(qiáng)調(diào)該泄露事件對(duì)公司發(fā)展軌跡的影響都不為過(guò)。考慮到潛在風(fēng)險(xiǎn)，制定更有效的云安全策略對(duì)于依賴云服務(wù)的企業(yè)來(lái)說(shuō)是一個(gè)相對(duì)簡(jiǎn)單的步驟。

還值得注意的是，在出現(xiàn)監(jiān)管問(wèn)題后，法律通常要求公司讓潛在受害者知道他們可能受到了影響。該通知對(duì)任何違反 HITECH、HIPAA 或歐盟數(shù)據(jù)保護(hù)指令等關(guān)鍵法規(guī)的企業(yè)都是重大打擊。您也可能成為受違規(guī)影響的客戶提起訴訟的目標(biāo)。

缺乏知名度

太多的公司都缺少一種可靠的方法來(lái)監(jiān)控用戶活動(dòng)并識(shí)別任何異常或可疑的行為。如果您的組織中有人違反安全策略（無(wú)論是有意還是無(wú)意），立即識(shí)別該問(wèn)題以形成快速響應(yīng)至關(guān)重要。

最常見的例子之一是員工將敏感數(shù)據(jù)上傳到云端，其他不應(yīng)該訪問(wèn)的用戶可以看到這些數(shù)據(jù)。如果沒(méi)有全面的云安全監(jiān)控方法，您很容易錯(cuò)過(guò)這個(gè)問(wèn)題，直到它變成一個(gè)更大的問(wèn)題。

云服務(wù)的另一個(gè)眾所周知的風(fēng)險(xiǎn)是，員工在辭職或被解雇之前利用他們的訪問(wèn)權(quán)限下載私人信息。考慮到這些威脅，令人驚訝的是，如此多的公司繼續(xù)對(duì)自己的云安全采取松懈的方法。雖然保護(hù)您的組織免受外部風(fēng)險(xiǎn)顯然至關(guān)重要，但通常更容易忽視您的內(nèi)部漏洞。

Splunk、Rapdi7 或 Fortscale 等用戶行為分析系統(tǒng)在后臺(tái)執(zhí)行此分析。這讓您可以專注于您業(yè)務(wù)的其他領(lǐng)域，同時(shí)讓您高枕無(wú)憂，因?yàn)槟滥慕M織的活動(dòng)一直受到監(jiān)控。這些系統(tǒng)會(huì)嚴(yán)格查看活動(dòng)，無(wú)論它是否來(lái)自經(jīng)過(guò)批準(zhǔn)的用戶。

一般來(lái)說(shuō)，獲得對(duì)用戶和設(shè)備訪問(wèn)的更多控制和可見性將對(duì)您的組織產(chǎn)生積極影響。另一個(gè)常見漏洞涉及允許您的團(tuán)隊(duì)成員從他們登錄的任何設(shè)備訪問(wèn)敏感數(shù)據(jù)。您可以通過(guò)限制對(duì)已批準(zhǔn)設(shè)備的權(quán)限并要求對(duì)任何其他訪問(wèn)嘗試進(jìn)行額外身份驗(yàn)證來(lái)解決此問(wèn)題。

了解風(fēng)險(xiǎn)管理

了解云安全態(tài)勢(shì)管理 (CSPM) 是保護(hù)您的云并預(yù)測(cè)其面臨的風(fēng)險(xiǎn)的第一步。云安全態(tài)勢(shì)管理是指持續(xù)監(jiān)控您的云安全并不斷調(diào)整和改進(jìn)它以防止攻擊。您可以與 CSPM 提供商合作，但第一步是投資數(shù)據(jù)保護(hù)。這將確保您的數(shù)據(jù)按敏感度分類，并且您可以選擇將數(shù)據(jù)發(fā)送到哪里。可能需要?jiǎng)h除或隔離高度敏感的數(shù)據(jù)。確保您的整個(gè)團(tuán)隊(duì)都在船上，并且確切知道敏感的已刪除數(shù)據(jù)會(huì)發(fā)生什么。

保護(hù)敏感數(shù)據(jù)

敏感數(shù)據(jù)應(yīng)使用您的密鑰加密。使用外部密鑰，您的云將免受不良行為者和惡意軟件的侵害，但您的云安全狀況管理服務(wù)仍然可以訪問(wèn)此數(shù)據(jù)。它不會(huì)破壞您的服務(wù)提供商開展工作的能力。它只是一個(gè)額外的安全層，可以讓您高枕無(wú)憂。

您還需要設(shè)置訪問(wèn)控制策略以進(jìn)一步保護(hù)您的云。限制數(shù)據(jù)共享很重要。例如，通過(guò)手動(dòng)設(shè)置用戶的能力來(lái)控制誰(shuí)可以查看和編輯敏感信息。您可以將某些用戶設(shè)置為“查看者”模式或“編輯者”模式，并確保您對(duì)誰(shuí)在查看或處理什么擁有最終決定權(quán)。這也將控制誰(shuí)可以通過(guò)外部鏈接分享什么。您可能不希望外部用戶具有完全訪問(wèn)和編輯能力。但是，很容易對(duì)誰(shuí)有權(quán)訪問(wèn)什么設(shè)置限制。

最后，您可以實(shí)施以真正確保云安全的最后兩個(gè)步驟如下：從其他設(shè)備刪除下載功能。您可以阻止其他設(shè)備下載您的文件和數(shù)據(jù)。強(qiáng)烈建議這樣做，因?yàn)槟脑瓢踩峁┥炭梢詮娜魏卧O(shè)備訪問(wèn)您的云，從而使您面臨潛在的安全威脅。反惡意軟件保護(hù)也是您可以采取的額外步驟，以確保云環(huán)境的安全。