目前，各行各業都在加快邁向云環境的步伐。云帶來無與倫比的可擴展性、敏捷性與可訪問性，這一切足以成為開發人員手中實實在在的競爭優勢。但在通往云端的道路中，安全隱患是不小的絆腳石，數據泄露時常發生。回顧2020年，我們會發現遠程辦公的普及過程就是云遷移的過程，但同時也是眾多數據泄露事件的根源。

盡管已經引發廣泛關注，但大多數現代數據泄露事件并不像科幻電影中表現得那么“酷炫”。相反，往往問題源自系統配置不當、身份信息管理不良、數據存儲有誤等等。如果不輔以適當的開發人員與運營人員，云環境在整個開發生命周期內總會暴露在惡意活動的籠罩之下。

常見的安全風險

常見的安全風險通常源自用戶的兩類疏忽，首先，DevOps可能下意識采用傳統/現場數據環境中的實踐，而沒有意識到云遠程訪問帶來的廣泛影響。其次，其他人可能在自由與云端動態功能進行交互的過程中，忽視或低估安全預防措施的重要性。這種缺乏良好云安全的行為可能帶來一系列潛在威脅，最終導致數據全面泄露。

權限管理不善會帶來麻煩。DevOps可能會選擇在項目開發期間對數據庫及存儲容器內的敏感數據進行開放訪問，并在隨后逐步劃定權限范圍。這就是所謂“先運行、再修復”的基本思路。但現實情況是，只要不出問題，“再修復”就只是一句空話，因此敏感數據可能持續對未授權身份開放。這種行為在一個個快速迭代的項目中反復增強，并最終成為新的運營習慣。正因為如此，在執行修復程序之后，某些原有成果可能發生中斷，迫使團隊為了快速恢復運行而回滾至不安全配置，完全起不到學習與改進的效果。

遠程工作提高了攻擊風險。如今，不少企業已經將運營體系轉換為遠程形式，但對云數據的粗暴處理很可能引發潛在的數據泄露。DevOps可能會暫時禁用防火墻并設置對高權限數據的遠程訪問通道，這一切都極大提高了攻擊風險。

同事間溝通不暢，使用云系統的員工可以與同事直接共享數據訪問權限，且無需通知對方其中可能存在哪些敏感數據。這就導致作為共享對象的同事可能為其啟用公開訪問權限，以延長共享周期，從而嚴重損害云資源安全性。

如果對云資源管理不當，企業將面臨一系列災難性的問題，包括客戶信任度下降、品牌聲譽受損以及因違反GDPR及CCPA等數據隱私規定而面臨法律訴訟。例如，萬豪酒店此前就遭遇到嚴重的數據泄露事件，超過520萬份機密訪客記錄發生外泄。這家知名酒店可能因違反GDPR要求而面臨最高9.15億美元的罰款。再考慮到其他法規的處罰，總罰金額度可能達到數十億美元。另外，米高梅也出現了類似的數據泄露事件。

由此可以看出，企業構建安全體系迫在眉睫，需要從起步階段采用最佳身份管理，借此幫助企業緩和危機，搶先一步消除大規模采用云服務時常見的各類隱患。

建立與實施安全體系

很多人認為，云本身就代表著危險、不可信。實際情況恰恰相反，只要充分運用保護手段，云將帶來以往本地基礎設施所無法比擬的安全性與彈性。事實上，云仍然是開發人員保持競爭優勢的理想平臺，能夠極大降低軟件啟動與新成果發布的運營門檻，在適當措施的支持下，DevOps團隊可以繼續使用云資源進行創新、推動業務增長與擴展，同時有效規避數據泄露風險。

安全體系的建立與實施，將幫助企業內的開發人員建立起完善的預防措施，通過優化創新、安全性與合規性等手段保護高權限賬戶，進而改善數據治理實踐。基于此，這些安全要點要注意：

• 永遠不將實時數據納入實驗;
• 始終對數據進行加密以提供額外的安全性支持;
• 使用經過隔離的云賬戶進行測試;
• 不重復使用身份;
• 優先將高級IAM控制機制作為邊界，借此緊密監控用戶身份，這也是現代云攻擊面中的一大重要因素;
• 將安全因素嵌入問答流程當中，確保針對云環境采取適當的預防措施。

其中的核心在于建立一份問答清單，標記出清單內的關鍵性合規與安全問題，借此優化身份管理。

即使建立起最堅固的安全體系，如果不能消除人為錯誤與疏忽，我們仍然得不到理想的結果。因此，企業應考慮在現有安全體系之上建立起自動化的云安全與合規解決方案。自動化流程將持續監控每個云身份，在保障數據安全的同時幫助開發人員始終將精力集中在當前工作上。這類解決方案還將提供關于細微配置錯誤及其他潛在數據威脅跡象的實時洞見，幫助我們快速準確地制定補救措施。

云服務的普及令組織得以蓬勃發展、令員工得以輕松創新，同時也借由身份與數據治理帶來新的安全保障思路。因此，我們必須從“命令與控制”方法轉變為重視“信任但仍須驗證”流程。云時代下的最佳數據治理策略要求在向員工提供規則的同時為其建立起可靠的系統，確保他們可以完全信賴這些系統，并以此為基礎處理其他更為復雜的業務問題。

人為錯誤可能永遠無法避免，數據或早或晚總會面臨威脅。但在惡意行為出現之前搶先補救的實際能力，最終將成為決定企業成敗的關鍵。