隨著企業數字化轉型的深入，越來越多的企業依賴多個云服務商，云安全問題日益復雜和嚴峻，云宕機或數據泄露導致的業務停頓不但意味著財務和聲譽的巨大損失，甚至會給企業帶來滅頂之災。

近年來，全球云計算巨頭如亞馬遜、阿里云和微軟Azure接連遭遇了影響廣泛的安全漏洞和宕機事故，尤其是最近發生的網易云停頓事件再次引發了業界對云安全和可靠性問題的深刻反思。

云計算環境看似是現有業務的無縫擴展，但實際操作中，各個云團隊分布廣泛，有時可能與網絡安全團隊的需求背道而馳，這使得云計算的安全問題更加難以察覺和處理，產生大量安全盲區。

以下，是CISO最容易忽視或輕視的八個云安全問題：

一、隱形威脅：臨時性資源

臨時性資源在云計算中的使用越來越頻繁，例如短暫存儲實例或動態資源分配，這些資源存在時間很短，通常只執行特定功能后就終止。然而，這些短暫資源雖然壽命短，卻極難掃描，成為隱藏惡意軟件的理想場所。一旦被攻破，它們便可成為攻擊者的溫床，為惡意活動提供暫時的庇護，而不會留下太多可供法證分析的痕跡。

二、云環境中的IT資產清點

很多安全專家過去在本地數據中心中進行IT資產清點時，常因操作過于復雜而避之不及。如今，在云端清點資產變得更加簡單，幾乎沒有借口可以再回避這個問題。云計算中的一切都可視作API，這使得清點資源變得更加高效和自動化。通過快照API，企業可以掃描服務器上的應用程序和庫，無需擔心掃描過程對性能的影響。

三、用云服務賬單監測攻擊

云服務賬單可用于監測攻擊，因為有些攻擊者并不滿足于竊取數據或發動DDoS攻擊，他們通過增加企業的云服務開銷來進行懲罰性攻擊，這種攻擊方式被稱為“錢包剝奪攻擊”（DoW）。此外，監控云服務賬單開銷的異常波動也能成為識別惡意活動的早期信號，例如突然的使用量下降可能意味著攻擊者正在刪除備份文件，削弱企業的安全防護。

四、SaaS應用的安全隱患

SaaS應用的風險差異巨大，許多企業在關注主要的云服務提供商時，往往忽略了對SaaS服務的安全審查。這些第三方SaaS應用可能存儲著代碼庫或其他關鍵數據，但卻未必具備足夠的安全防護，增加了攻擊者利用的機會。

五、不可忽視的DNS指向問題

DNS指向問題在云計算中看似微不足道，但一旦處理不當，可能會導致嚴重后果。攻擊者可利用遺留的DNS指針偽裝成合法的企業網站，從而對用戶發起網絡攻擊。

在這個云計算主導的時代，企業需要不斷更新安全策略，應對層出不窮的新威脅。即使看似無關緊要的云組件，也可能成為潛在的安全漏洞。

六、API的安全隱患

API是云結構的基礎，也是攻擊者進入系統的主要途徑之一。許多企業往往忽視API安全，特別是本地API密鑰的安全管理。例如，即使員工賬戶的單點登錄（SSO）已經被禁用，但本地API密鑰卻仍然可能繼續有效。這種情況下，前員工仍然可能擁有對系統或數據的訪問權限，這無疑是一個嚴重的安全隱患。

對于使用多個云平臺的企業，跨平臺的API訪問問題尤為明顯。例如，如果某個企業在多個云平臺（如AWS和微軟Azure）中使用相同的身份驗證平臺，那么攻擊者有可能通過攻擊其中一個API而獲得對整個云平臺架構的廣泛訪問權限。

七、云端IDP備份策略的重要性

身份提供商（IDP）的中斷雖然相對較少發生，但企業仍然需要一個IDP備份策略以防不測。尤其在所有身份驗證依賴于云服務的情況下，一旦主要IDP不可用，企業需要有應急方案來繼續進行認證和服務訪問。然而，許多公司在考慮到切換到備份IDP可能對用戶造成的干擾時，往往選擇放棄這一策略。這導致企業在IDP中斷時暴露于嚴重的身份驗證風險。

八、元數據服務的隱患

2024年3月，亞馬遜AWS悄悄更新了其實例元數據服務（IMDS），引入了版本2（IMDSv2）以提高安全性。元數據服務存儲了安全憑據和其他關鍵信息，可能被攻擊者利用，通過服務端請求偽造（SSRF）竊取這些憑據。盡管AWS早在2019年就推出了IMDSv2，但許多企業仍在使用原版IMDSv1，這使得它們暴露于潛在的安全威脅中。AWS的最新更新允許默認將所有新創建的實例設置為IMDSv2，但現有的IMDSv1實例仍需要手動重新配置。

該漏洞使許多組織在不知不覺中暴露于嚴重的憑據盜竊風險中，如果攻擊者利用這些憑據在企業內部進行橫向移動，可能導致災難性的后果。