“萬物皆可云”時代，云安全比任何時候都更重要！

科技云報道原創(chuàng)。

隨著企業(yè)上云已是大勢所趨，云上安全成為企業(yè)數(shù)字化轉(zhuǎn)型趨勢下不可忽視的重要因素?！毒W(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等法律法規(guī)的出臺，使得我國網(wǎng)絡安全在制度層面得到進一步完善。在國外，歐盟的GDPR、美國的CCPA等相關(guān)數(shù)據(jù)安全法律法規(guī)，無不彰顯對數(shù)據(jù)保護的力度。因此，在云環(huán)境下如何確保數(shù)據(jù)和應用安全的要求，也成為云服務商與企業(yè)用戶的共同目標。

在云安全方面，由于不同云技術(shù)廠商對于IaaS、PaaS、SaaS安全責任邊界存在一定程度的模糊性，且許多企業(yè)會采用多云模式，而企業(yè)云上安全責任邊界如果不清晰，就很容易形成安全薄弱環(huán)節(jié)，成為網(wǎng)絡攻擊與違法犯罪的入口。

?

?

云安全成為數(shù)字時代新的“主戰(zhàn)場”

如今，數(shù)據(jù)作為關(guān)鍵生產(chǎn)要素和重要的戰(zhàn)略資產(chǎn)，備受各國政府的關(guān)注和重視。但與此同時，海量的數(shù)據(jù)催生了許多安全管理問題，消費者的數(shù)據(jù)安全和用戶的隱私保護工作愈發(fā)重要。放眼全球，各國也都在持續(xù)優(yōu)化數(shù)據(jù)安全政策環(huán)境。安全合規(guī)，已經(jīng)成為當下中國企業(yè)邁向云端的一堂必修課。

受數(shù)字化轉(zhuǎn)型影響，越來越多的企業(yè)希望借助更現(xiàn)代化的數(shù)據(jù)備份、恢復和管理解決方案，實現(xiàn)關(guān)鍵業(yè)務變革。目前，數(shù)據(jù)的存儲主要以云架構(gòu)為技術(shù)基礎，采用虛擬分布式存儲的方式，在云端進行數(shù)據(jù)信息的操作處理。云存儲提供了一種低成本的方案，企業(yè)不需要維護冗余設施，在花費更少資金的情況下，通過企業(yè)信息化管理提升工作效率。

《Veeam 2022 數(shù)據(jù)保護趨勢報告》調(diào)研顯示，2020年，30%的企業(yè)選擇把數(shù)據(jù)備份在本地數(shù)據(jù)中心，23%的企業(yè)選擇把數(shù)據(jù)備份在DRaaS云提供商那里；2021年，28%的企業(yè)選擇把數(shù)據(jù)備份在本地數(shù)據(jù)中心；30%的企業(yè)選擇把數(shù)據(jù)備份在云端。并且，本地數(shù)據(jù)正在快速向云端遷移，預計到2024年，將有53%的企業(yè)選擇把數(shù)據(jù)備份在云端。

Gartner也發(fā)現(xiàn)，中國數(shù)據(jù)庫正加速增長并逐步向云端遷移。數(shù)據(jù)顯示，2020年云數(shù)據(jù)庫已占據(jù)整體數(shù)據(jù)庫市場份額的40%，預計2022年云數(shù)據(jù)庫營收數(shù)據(jù)將占據(jù)數(shù)據(jù)庫整體市場的半數(shù)以上。未來四年，中國數(shù)據(jù)庫向公有云遷移的速度將超過全球平均水平。

隨著企業(yè)對云計算的依賴度越來越高，風險敞口也一步步暴露出來。美國電信運營巨頭Verizon發(fā)現(xiàn)，現(xiàn)今大部分的網(wǎng)絡安全事件都涉及云端基礎架構(gòu)，而且外部云端資產(chǎn)受到的影響高于內(nèi)部資產(chǎn)。有一半的企業(yè)將其40%以上的數(shù)據(jù)儲存于外部云端環(huán)境，但對敏感數(shù)據(jù)進行加密保護的企業(yè)卻并不多。

AWS在2021年8月針對使用者所進行的一項調(diào)查發(fā)現(xiàn)，100%受訪者都在公有云環(huán)境，至少遭遇過一次安全事故。如今，大多數(shù)企業(yè)的IT系統(tǒng)會在多云環(huán)境下運行，但不同的云服務廠商帶來了更嚴峻的安全挑戰(zhàn)。大多數(shù)人表示，關(guān)于誰應該做什么，共同責任模型通常不夠明確。公有云和混合云的快速采用，讓安全維護變得更加困難，而疫情的推波助瀾也加速了企業(yè)數(shù)字化轉(zhuǎn)型的進程，這讓云安全成為企業(yè)的剛需配置。

?

宜未雨而綢繆 勿臨渴而掘井

根據(jù)Cybersecurity Insiders發(fā)布的《2021年云安全報告》顯示，云安全是企業(yè)的“心腹大患”，幾乎所有的受訪者（96%）都表示有至少中等程度的安全擔憂，三分之一的受訪者（33%）表示對公有云安全非常擔憂。

云平臺安全能力與獨立第三方安全產(chǎn)品難以抉擇，平臺、租戶、應用廠商之間安全責任劃分不清，合規(guī)監(jiān)管下無法進行有效整改，云上安全風險無法主動識別，事件無法持續(xù)監(jiān)控與響應，安全風險和態(tài)勢無法全面洞察是企業(yè)面臨的一系列安全挑戰(zhàn)。

云安全帶來的挑戰(zhàn)首先來自于，企業(yè)需要控制數(shù)據(jù)，并確保數(shù)據(jù)的安全性和隱密性。無論是外包數(shù)據(jù)存儲還是使用流行的云計算SaaS應用程序，將更多數(shù)據(jù)存儲在云端，意味著可能給信息帶來更多不必要的或者未經(jīng)授權(quán)的訪問。但因為云計算帶來的商業(yè)利益，很多企業(yè)還是將業(yè)務和數(shù)據(jù)不斷轉(zhuǎn)移到云端。所以，企業(yè)安全團隊和IT團隊需要竭力保護云端數(shù)據(jù)，同時允許用戶對云端數(shù)據(jù)的合理訪問和使用。

其次，另一個巨大的挑戰(zhàn)是確定云數(shù)據(jù)的具體位置。一旦數(shù)據(jù)離開企業(yè)的防火墻，轉(zhuǎn)移到云計算中，這些數(shù)據(jù)通常會位于云服務供應商的設備中，這通常位于企業(yè)外部。由于各個國家和各個行業(yè)的法規(guī)都不同，企業(yè)必須能夠遵守適用其數(shù)據(jù)的法規(guī)，這對于跨國企業(yè)來說是一個很大的挑戰(zhàn)，他們需要遵守特定的數(shù)據(jù)法規(guī)，而他們的云服務供應商可能位于多個國家。

同時，安全建設的碎片化，網(wǎng)絡安全意識存在偏差，也成為企業(yè)所面臨的挑戰(zhàn)之一。網(wǎng)絡環(huán)境復雜度的增強，安全事件攻擊手段的提升使網(wǎng)絡空間的攻防戰(zhàn)愈演愈烈，傳統(tǒng)的人工應對方式已經(jīng)完全不足以解決當前數(shù)量巨大、變化多端的威脅信息和攻擊；在安全制度方面，安全事件處理流程無法標準化，安全專家經(jīng)驗不能迭代固化，使得安全建設體系發(fā)展緩慢；未體系化建設的安全，又常常是產(chǎn)品的堆砌，不同安全產(chǎn)品之間各自為戰(zhàn)，碎片化、孤島化，不僅無法帶來安全能力的提升，反而增加運營團隊的壓力。

所以，企業(yè)需要提升云安全能力，制定規(guī)范的安全策略，構(gòu)建有效的安全運營體系框架，在安全無憂的環(huán)境之中釋放云能力，為數(shù)字化轉(zhuǎn)型賦能。

在海外，亞馬遜AWS、微軟Azure均采用了與用戶共擔風險的安全策略。對IaaS服務來說，云服務商需保障物理、網(wǎng)絡和虛擬化層面的安全，而用戶需要保障操作系統(tǒng)、應用程序和數(shù)據(jù)的安全；對PaaS服務來說，操作系統(tǒng)安全也歸云服務商負責，用戶只需要負責應用程序和數(shù)據(jù)安全；對SaaS服務來說， 用戶要負責的就是數(shù)據(jù)安全，而其他所有的部分都是云服務商的保障范圍。

亞馬遜云科技大中華區(qū)戰(zhàn)略業(yè)務發(fā)展部總經(jīng)理顧凡表示，隨著企業(yè)加速上云，企業(yè)放到云上的數(shù)據(jù)類型、數(shù)量也會繼續(xù)增加。而隨著今天越來越多的中國企業(yè)出海，很多企業(yè)業(yè)務在全球范圍拓展，甚至有很多企業(yè)是跨若干行業(yè)賽道進行競爭，所有這一切都會加劇企業(yè)面對安全合規(guī)的挑戰(zhàn)。安全不僅僅是技術(shù)的問題，也是管理的問題。亞馬遜云科技的“JobZero安全文化”將安全作為亞馬遜云科技最高優(yōu)先級的工作。

亞馬遜云科技大中華區(qū)戰(zhàn)略業(yè)務發(fā)展部總經(jīng)理顧凡

亞馬遜云科技為客戶打造防護體系的宗旨是，幫助客戶更簡單地解決安全問題，持續(xù)不斷加大安全投入，卻不設置安全方面的營收指標，要讓安全服務像水和空氣一樣，提供給用戶。不依靠水和空氣產(chǎn)生利潤，卻需要給用戶提供優(yōu)質(zhì)的水和空氣，創(chuàng)造健康的環(huán)境。亞馬遜云科技目前提供了280多個安全、合規(guī)服務及功能，在五大領域為客戶提供全方位的安全服務。

針對這種責任共擔機構(gòu)的分界線，顧凡透露，在IaaS、PaaS、SaaS不同的場景分界線會有所移動。舉例來說，如果客戶使用的是基礎資源，分界線是云廠商保護云基礎設施，例如虛擬機、網(wǎng)絡存儲、計算，用戶負責虛擬化之上的資源，例如操作系統(tǒng)、應用、數(shù)據(jù)訪問、加密。如果客戶在云上采用的是PaaS服務，亞馬遜云科技肩負的責任會更多。到SaaS服務的時候，客戶主要負責的就是數(shù)據(jù)，以及數(shù)據(jù)的訪問權(quán)限。

隨著企業(yè)客戶對于云的使用量增長，云業(yè)務在增長的同時也激發(fā)出更大的安全需求，云安全正成為數(shù)字時代新的主戰(zhàn)場?；谠萍軜?gòu)和針對數(shù)據(jù)的安全體系將被快速、廣泛地結(jié)合進現(xiàn)有安全體系得到實踐，以符合政策的監(jiān)管和企業(yè)的需求。同時，各類產(chǎn)業(yè)的安全需求將更加細化，以實現(xiàn)更加嚴格的安全防護。因此，企業(yè)該如何保護業(yè)務，更好應對日益增長的威脅，這都是留給網(wǎng)絡安全領域巨大的增長空間。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。