Gartner最近的一项研究表明，到 2025 年，85% 的企业会采用云战略，虽然这一数字是面向全球的，但可以看到在中国的环境中，基于云所带来的优势，越来越多的企业也同样开始积极向云转型。

但同时，有报告指出过去一年中，80% 的企业遇到了与云相关的安全事件。

云带来了好处

关于企业采用云的收益是一个老生常谈的事情，这里不过多赘述，简单说几点：

• 降本增效：云计算提供灵活性和扩展性，帮助企业根据需要快速扩大或缩小其规模，提高效率并降低成本。
• 优化管理：基于云的模型，企业可以打破很多传统管理桎梏，构建新的管理模型。
• 减少合规工作量：传统的数据中心中，整个合规性完全需要由企业自主解决，而在云的环境中，这一工作的底层部分则全部转移给云供应商。

云也带来了风险

 

随着企业将关键基础设施和数据快速迁移到云端，在新的环境中也面临新的安全问题。最近的一份报告显示，80% 的组织在过去一年中遇到了与其云基础设施相关的安全事件。

在上云过程中可能面临的技术盲点：

• 忽视漏洞和安全漏洞。
• 不当配置可能会使敏感数据和应用程序遭受网络攻击。
• 当多个用户访问相同的云服务和数据时，未经授权的访问和数据泄露的风险增加是一个问题。

此外，云环境的动态特性带来了持续变化的风险。随着云服务和技术的快速发展，组织必须跟上更新、补丁和新的安全威胁。如果不这样做，可能会导致安全措施过时，使组织容易受到攻击。

云安全与传统安全不同

云安全与传统解决方案的不同之处在于，组织和云提供商共同承担安全责任。在传统解决方案中，组织仅负责安全性，而云提供商仅负责底层基础设施。

在云安全模型中，组织负责保护其应用程序、数据和用户访问，而云提供商负责保护底层基础设施，例如服务器、网络和物理数据中心。这种转变很重要，因为它减轻了组织管理和维护安全基础设施的负担，使他们能够专注于核心业务流程。这还意味着云提供商必须拥有强大的安全措施来保护其基础设施并防止未经授权的访问或数据泄露。

云的共享责任模型要求组织采取适当的措施来保护其环境、应用程序和数据。否则可能会导致违规，从而严重影响业务。主动识别和减轻云安全风险的方法仍然至关重要。

 

面向云思考安全

关注风险暴露

云环境中的风险暴露对于组织确保其数据和基础设施的安全至关重要。组织需要考虑几个因素来深入了解其风险水平并采取适当的措施来减轻风险。这包括：

• 访问云基础设施的用户数量：用户数量越多，安全漏洞的可能性就越大。组织应密切监控用户访问权限并实施强大的身份验证机制。
• 安全配置云基础设施：组织应确保正确实施和维护所有安全控制。这包括定期更新和修补系统、安全存储和管理加密密钥以及监控错误配置。
• 安全团队在处理云事件方面的熟悉程度和培训程度：组织应拥有一支训练有素且主动的事件响应团队，以及时检测和响应安全事件。
• 定期测试和演习流程：组织可以通过定期进行渗透测试和漏洞评估来主动识别和解决潜在的弱点，然后再利用它们。

认知盲点

云安全盲点是由云环境的独特特征造成的，这与安全工具最初设计的遗留数据中心不同。公共云平台具有临时基础设施、地理分布和共享责任模型，这些都破坏了传统的安全方法。

可见性有限。云提供商负责保护底层基础设施的安全，而客户则负责保护其应用程序、数据和用户访问的安全。这种职责划分可能会导致安全监控和事件检测方面的差距，因为客户可能需要完全了解云提供商的安全措施和日志。

配置和操作错误。据Gartner称，大部分云安全问题在于客户的配置或操作错误。这凸显了企业在确保安全的云环境方面所面临的挑战和责任。访问控制薄弱、加密不当或监控不足等错误配置会成为可以利用的漏洞。

需要一种整体方法来消除云安全盲点。这包括持续盘点所有资产、大规模应用策略和控制、与云能力集成，以及关注工作负载和数据流而不仅仅是基础设施。利用云原生功能来确保安全也是关键，而不是使用不充分的遗留工具集。

云环境中的安全挑战

云环境复杂且动态，这使得它们难以确保安全。以下是一些挑战：

• 规模和复杂性：云环境可能拥有数十万个资产，这使得跟踪和保护它们都成为问题。
• 责任共担模型：云提供商和客户共同承担安全责任，这可能会导致覆盖范围的混乱和差距。
• 云原生技术采用：以容器和K8s为代表的云原生技术在近几年快速崛起，企业上云很多直接采用容器，而对其安全管理能力和手段还很欠缺。
• 动态、无边界和非结构化环境：云环境不断变化，使得维护安全控制变得困难。

应对挑战

为了应对这些挑战，企业需要构建合理的全面安全能力。这包括：

• 工具：使用云原生安全工具，欲善其事必先利其器，在开始解决问题前，选择合适工具和解决方案可以让云安全建设少走弯路。通过专业工具构建自动的能力链，可以将问题发现到处理的周期极大的缩减。
• 人员：解决问题一定离不开人，所以需要面向云安全储备专门的人员，兼具安全和云计算知识的云安全人才，是企业保障云安全必不可少的部分。
• 文化：在深层次，需要企业面向云和云安全去形成文化，如果整个企业在内的文化、流程、机制、模式方面都依然是非常传统的方式，那么在云安全的建设中也会困难重重。

 

 

关于 HummerRisk

HummerRisk 是开源的云原生安全平台，以非侵入的方式解决云原生的安全和治理问题。核心能力包括混合云的安全治理和K8S容器云安全检测。

GitHub 地址：https://github.com/chaitin/HummerRisk

Gitee 地址：https://gitee.com/hummercloud/HummerRisk