隨著云計算技術的發展，上云已經成為企業數字化轉型的必選項。面對不同的業務需求，同時為了數據保護、監管等要求，大部分企業都會選擇多云架構，這就使得企業內部的云架構變得越來越復雜，管理難度也越來越大。隨之而來，第三方風險正在讓企業的云安全管理變得舉步維艱。

根據IDC 近期發布的一份市場預測表明，亞太地區的公有云服務市場總值將于 2026 年達到 1536 億美元，該數字十分驚人，因而各公司面臨填補其云基礎架構缺口的壓力。尤其是第三方風險可能對企業構成實質性威脅。

不難發現，亞太地區即是公有云服務的重要市場，又是安全風險防御最高的戰場。筆者認為，面對未來存在的不確定巨大安全挑戰，以及第三方風險的不斷增加，企業必須重新審視面臨的安全隱患，構建更加穩健的安全防御系統，才能確保云中業務和數據的絕對安全。

第三方風險正在威脅企業的云安全管理

企業在完成云架構轉型之后，云服務提供商、供應商、合作伙伴等都成為業務生態系統中最基本組成部分，這就意味著企業面臨著來自于更多方面的安全風險。

眾所周知，企業在本地構建的數據中心往往都有著比較明確的網絡邊界，并通過實施安全控制措施（如防火墻）來保護這些邊界。上云之后，由于基礎設施是分布式的，很多業務和數據會存儲在公共基礎設施之上，這就意味著企業不可能完全實現安全控制，存在的安全風險也就更高。

根據IBM《2023年數據泄露成本報告》顯示，2023年數據泄露的全球平均成本上升至445萬美元，達到歷史新高，比2022年的435萬美元增加了2.3%，比2020年的386萬美元增加了15.3%。其中，67%的數據泄露事件是由良性第三方或攻擊者自己報告的。

Akamai 云計算產品線首席技術官 Jay Jenkins

“盡管絕大多數亞太地區 (APAC) 企業將云視為其戰略的關鍵，但許多企業發現自己成了數據丟失以及從惡意軟件到分布式拒絕服務等各種網絡攻擊的受害者。” Akamai 云計算產品線首席技術官 Jay Jenkins表示，隨著攻擊者獲得的信息越來越敏感，可能會讓個人客戶面臨威脅。公司需要警惕各類不同程度的威脅，無論是竊取高級客戶信息、姓名和地址，還是財務信息，都需警惕被竊。

對于現代化企業而言，雖然供應鏈存在著固有的安全風險，但它也是企業成功的關鍵要素，因此關閉第三方運營就等于關閉企業運營。與此同時，由于現代化企業的安全策略要求安全團隊必須實現從安全監督者向業務推動者的角色轉變，這就意味著IT管理者需要在不降低業務性能，保證企業生產力的情況下保障安全性。對IT管理者而言，克服第三方業務與安全的困境極具挑戰性。

“遷移到云端的小型企業不一定會成為黑客攻擊的目標。然而，對于較大型云端企業來說，軟件本身可能會成為攻擊的目標。僅僅是使用這些服務，可能就會讓企業在不知不覺中面臨潛在攻擊。 ” Jay Jenkins認為，當涉及到云使用方面的內部治理時，理想情況下，團隊應該有安全著陸區，以幫助他們在云中保持安全。將安全機制引入實際的軟件供應鏈，確保從一開始就安全無虞，而不是事后才考慮安全問題和抵御攻擊者，這對于攻擊防御來說意義重大。

重構穩健系統成為防范潛在威脅的關鍵要素

大型企業和小型企業可以采取哪些措施來管理云環境并避免遭受網絡攻擊呢？筆者認為，要克服這些挑戰，企業首先必須放棄傳統安全思維模式下運營模式，重頭構建穩健的安全防御系統，才能阻止任何風險或威脅，賦能業務可持續發展。

對于現代安全防御體系的構建，Jay Jenkins也給出了三條實用建設。其一，要熟悉第三方供應商認證。查看他們的安全認證，了解認證所代表的含義，并進行實際審查，這有助于發現其安全態勢方面存在的任何不一致情況。

其二，安全認證通常會附帶一個特定的服務列表。公司必須開展盡職調查，并了解他們可能使用哪些服務以及這些認證涵蓋其中的哪些服務。建議各公司對這些服務自行開展滲透測試。公司還需要了解自己在這些領域以及對于第三方供應商的風險偏好。

其三，對于仍依賴防火墻等技術的企業來說，選擇使用基于服務的網絡可能會增強安全性、提高服務質量并優化系統。企業應評估此類網絡的相關優勢和風險，并確保網絡與企業的整體業務和技術目標相一致。

其中，從基于機器的安全轉向基于服務的安全后，不論在第三方還是云端，公司都需要了解端點，包括不同的應用程序編程接口 (API)，以及這些服務的托管位置。

Jay Jenkins強調，API 是現代軟件開發的重要組成部分，且越來越多地被眾多企業所采用。它們是不同系統之間彼此通信以及共享數據和功能的“橋梁”。但是，正如計算領域的其他方面一樣，API 安全保護也是企業非常關注的一個問題。

“雖然亞太地區的企業確實也認識到，提高安全性對于推動積極的業務成果至關重要，但找到合適的合作伙伴來提供一系列嵌入不同安全和深度防御層的產品和服務，這將成為應對不斷演變的威脅形勢的關鍵所在。” Jay Jenkins如是說。