?根據451 Research近期云安全報告，在全球范圍內云采用率尤其是多云采用率仍在上升。2021年，全球組織平均使用110個軟件即服務（SaaS）應用程序，而2015年僅為8個，顯示出驚人的快速增長。

多個IaaS提供商的使用明顯增加，近四分之三（72%）的企業使用多個IaaS提供商，高于前一年的57%。多提供商的使用幾乎翻了一番，五分之一（20%）的受訪者報告使用三個或更多提供商。

盡管云服務越來越普遍和使用，但企業對云服務日益復雜有著共同的擔憂，大多數（51%）的IT專業人員同意在云中管理隱私和數據保護更加復雜。此外，云之旅也變得越來越復雜，受訪者表示他們希望最簡單的直接遷移的百分比從2021年的55%下降到目前的24%。

多云復雜性的安全挑戰

隨著復雜性的增加，對強大的網絡安全的需求也越來越大。當被問及他們的敏感數據存儲在云中的比例時，絕大多數人（66%）表示在21-60%之間。然而，只有四分之一（25%）的人表示他們可以對所有數據進行完全分類。

此外，近三分之一（32%）的受訪者承認必須向政府機構、客戶、合作伙伴或員工發出違規通知。這應該引起擁有敏感數據的企業的關注，尤其是在高度監管的行業中。

網絡攻擊還給云應用程序和數據帶來了持續的風險。受訪者表示攻擊日益普遍，四分之一（26%）的受訪者表示惡意軟件增加，25%的受訪者表示勒索軟件增加，五分之一（19%）的受訪者表示網絡釣魚/捕鯨有所增加。

保護敏感數據

在多云環境中保護數據時，IT專業人員將加密視為一項關鍵的安全控制。大多數受訪者認為加密（59%）和密鑰管理（52%）是他們目前用于保護云中敏感數據的安全技術。

然而，當被問及他們在云中的數據中有多少百分比是加密的時，只有十分之一（11%）的受訪者表示81-100%是加密的。此外，密鑰管理平臺蔓延可能是企業面臨的一個問題。只有10%的受訪者使用一到兩個平臺，90%的受訪者使用三個或更多平臺，幾乎五分之一（17%）的受訪者承認使用八個或更多平臺。

在保護云中的數據時，加密應該是企業關注的優先領域。事實上，40%的受訪者表示，他們能夠避免違規通知過程，因為被盜或泄露的數據被加密或標記化，展示了加密平臺的有形價值。

隨著越來越多的公司依賴基于云的技術，特別是因為遠程工作如此普遍，確保系統安全且機密數據受到保護至關重要。使用云存儲不一定危險，但企業應該了解并了解如何預防一些安全漏洞。

一些最常見的云安全挑戰

1、數據泄露

一個關鍵的云安全風險是安全措施不佳，導致數據泄露。企業必須確保其在線存儲提供商保證完全保護，防止泄露或未經授權訪問個人和敏感數據。

云服務通常帶有可公開訪問的URL，用于上傳和下載文件;如果使用了不正確的安全控制，這可能會導致數據泄露。企業必須通過強鏈路加密和限制性訪問來降低這種風險。

2、數據丟失

并非所有云服務提供商都具備在需要時處理生成備份的能力，這意味著如果企業不將其文件存儲在提供可靠備份的組織，則數據丟失是一種風險。

3、帳戶劫持

網絡犯罪分子可以獲取登錄信息以訪問存儲在云中的敏感數據，并且已知會利用網絡基礎架構中的漏洞，因此最佳做法是使用經常更改的強密碼。

4、內部威脅

安全威脅不僅來自外部：有權訪問敏感數據的管理員、開發人員和其他受信任的員工可能會意外造成損害。培訓您的員工如何正確使用云軟件至關重要。

5、不安全的接口

具有不安全API的云服務會威脅信息的機密性和完整性，并面臨數據和系統暴露的風險。通常，黑客將使用三種類型的攻擊來嘗試破壞 API：暴力攻擊、拒絕服務攻擊和中間人攻擊。

6、無法控制存儲庫

通常幾乎無法控制數據的存儲位置;如果發生違規行為，甚至可能不知道它是否發生或在哪里發生。為了降低此風險，建議管理員了解每個位置的安全措施，并在上傳之前加密其數據。

云安全風險管理的最佳實踐

1、云滲透測試

云滲透測試應定期進行，作為企業風險管理策略的一部分，因為它是評估基于云的系統網絡安全強度的有效且主動的方式。它像現實世界的黑客一樣探測云中的漏洞，以測試系統。

2、應急計劃

確保在線存儲提供商有一個業務連續性計劃，其中概述了在任何嚴重緊急情況（如自然災害或恐怖襲擊）的情況下保護存儲在其服務器中的信息的策略。您還應該詢問他們多久測試一次此計劃以確保一切正常。

3、數據安全審計

詢問服務提供商是否對安全控制進行例行審計，以保護最終用戶的個人數據和存儲在其網絡中的敏感文件；如果沒有，那么您可能需要尋找另一個云計算合作伙伴，他們可以提供有關其系統管理員實施的安全措施的完全透明度。

4、安全培訓

還應該詢問云存儲提供商是否提供培訓，以幫助教育員工了解云服務所涉及的潛在網絡威脅和安全風險。員工必須了解公司數據管理系統的內部運作，尤其是在避免對最終用戶的個人信息和遠程存儲的文件進行社會工程攻擊時。

了解安全服務詳情

請注意，許多服務提供商無法為客戶提供24/7全天候支持，每當在辦公時間以外出現問題時，這可能會非常令人沮喪。

注意

詢問在線存儲提供商是否為其客戶提供24/7全天候技術支持，或者至少確保知道解決任何與服務相關的問題的平均響應時間。

毫無疑問，云計算使企業能夠從任何地方虛擬訪問其重要數據，而無需維護服務器。

注意

通過遠程訪問敏感和業務關鍵型數據，需要足夠的風險管理來防止黑客破壞云應用程序。

了解云服務的風險和漏洞對于保護企業免受網絡犯罪分子的侵害至關重要。包含云滲透測試服務的網絡安全解決方案將大大有助于為關注其云安全性的企業提供更大的安心。

注意

云滲透測試可以為大多數云服務提供商識別和管理威脅監控，并為企業提供詳細的威脅評估。

在注冊云提供商之前，應該檢查他們是否提供您的業務所需的安全性。

注意

研究的越多，就越容易確定哪些公司提供滿足需求的最佳功能和安全性，以及哪些公司具有經過驗證的機密性記錄。

文章參考鏈接：

• *https://www.cloudcomputing-news.net/news/2022/jun/07/cloud-data-breaches-and-cloud-complexity-on-the-rise/
• *https://www.cloudcomputing-news.net/news/2022/aug/18/cloud-computing-security-risks/?