公共云已經成為企業基礎設施戰略和創新交付的主要支撐。云計算的自助服務訪問、彈性、可擴展性、快速部署以及以很少的前期成本訪問新的基礎設施和服務，加快了向市場的交付，并迅速被企業采用。

但采用公共云也帶來了安全風險。多租戶意味著攻擊面增加。即使是簡單的遷移，如果沒有重構或適當的治理或基礎設施加固，也可能導致不受約束的支出、不安全和不合規的工作負載，以及潛在的安全漏洞風險。簡單地說，打開云賬戶并不等于數字化轉型。新的治理方法、新的協作模式和新的工作方式是成功采用云計算的基礎。

隨著新的云技術和服務的引入，云計算策略不斷變化和發展，因此，五年前的云安全策略已經過時了。首席信息安全官們發現，他們的業務使用云的方式就像車輪上的門柱一樣不斷變化。云安全也必須以這種速度發展。

以下是首席信息安全官在2025年需要注意的一些最關鍵的云趨勢:

?保護云中的人工智能。生成式人工智能的沖擊意味著首席信息安全官組織也不得不轉向。黑盒人工智能模型缺乏透明度，易受偏見影響，道德考慮，可以利用開源模型的威脅行為者，以及擁有大量數據的人工智能模型，極大地增加了組織的攻擊面。首席信息安全官應該解決以下三個問題:1)審查云管理人工智能服務的安全控制和治理;2)約定云提供商和你的安全團隊之間的安全角色和責任;3)提高安全和更廣泛的云基礎設施團隊的人工智能能力，以確保這些新服務的安全。

?云可持續性的工作負載安置。歐盟新的可持續發展報告要求迫使企業關注他們的碳足跡。北美公司也紛紛效仿。滿足可持續性需求的一種方法是將工作負載放在更具可持續性的可用性區域中。例如，這可能涉及到確保由太陽能或其他可再生能源供電的可用區優先于由燃氣發電廠供電的可用區。云計算團隊依靠云管理解決方案和碳足跡數據來確定工作負載的位置。工作負載安置建議通常只考慮兩個潛在的角度:最低成本或最低碳足跡。ciso可能會發現這些問題超過了數據主權問題，或者在沒有必要的安全控制的情況下將數據轉移到可用區域。首席信息安全官需要詢問他們的數據將駐留在哪里，并實現對敏感數據的控制，以避免打破安全需求的工作負載管理解決方案自動移動。

?主權和監管要求。近年來，新的主權要求，如法國的SecNumCloud、Clouddeconfy和德國的云計算合規控制目錄(C5)，以及將數據保存在國內的推動，創造了對私有云和主權云的更廣泛推動。特別是，歐盟和亞太地區國家一直試圖更多地利用非美國的云提供商，創建主權云，或將工作負載留在本地。澳大利亞政府宣布投資20億澳元用于一個絕密的政府云。沙特阿拉伯的2030年愿景引入了嚴格的數據主權措施。在這樣的環境中操作的ciso知道他們需要滿足這些主權和法規指令，但必須在這與允許更廣泛的IT團隊交付業務需要和想要的功能之間取得平衡。ciso應該專注于確保他們了解哪些數據類型需要主權云服務，以懷疑的態度審查一些超大規模企業關于主權的聲明，并尋求只保護需要這種保護的數據，以保持業務的穩定。