云数据泄露和复杂性上升，如何应对安全挑战？

作者：肖力 翻译 2022-12-27 08:00:28

云计算

云原生 尽管云服务越来越普遍和使用，但企业对云服务日益复杂有着共同的担忧，大多数（51%）的IT专业人员同意在云中管理隐私和数据保护更加复杂。此外，云之旅也变得越来越复杂，受访者表示他们希望最简单的直接迁移的百分比从2021年的55%下降到目前的24%。

​根据451 Research近期云安全报告，在全球范围内云采用率尤其是多云采用率仍在上升。2021年，全球组织平均使用110个软件即服务（SaaS）应用程序，而2015年仅为8个，显示出惊人的快速增长。

多个IaaS提供商的使用明显增加，近四分之三（72%）的企业使用多个IaaS提供商，高于前一年的57%。多提供商的使用几乎翻了一番，五分之一（20%）的受访者报告使用三个或更多提供商。

尽管云服务越来越普遍和使用，但企业对云服务日益复杂有着共同的担忧，大多数（51%）的IT专业人员同意在云中管理隐私和数据保护更加复杂。此外，云之旅也变得越来越复杂，受访者表示他们希望最简单的直接迁移的百分比从2021年的55%下降到目前的24%。

多云复杂性的安全挑战

随着复杂性的增加，对强大的网络安全的需求也越来越大。当被问及他们的敏感数据存储在云中的比例时，绝大多数人（66%）表示在21-60%之间。然而，只有四分之一（25%）的人表示他们可以对所有数据进行完全分类。

此外，近三分之一（32%）的受访者承认必须向政府机构、客户、合作伙伴或员工发出违规通知。这应该引起拥有敏感数据的企业的关注，尤其是在高度监管的行业中。

网络攻击还给云应用程序和数据带来了持续的风险。受访者表示攻击日益普遍，四分之一（26%）的受访者表示恶意软件增加，25%的受访者表示勒索软件增加，五分之一（19%）的受访者表示网络钓鱼/捕鲸有所增加。

保护敏感数据

在多云环境中保护数据时，IT专业人员将加密视为一项关键的安全控制。大多数受访者认为加密（59%）和密钥管理（52%）是他们目前用于保护云中敏感数据的安全技术。

然而，当被问及他们在云中的数据中有多少百分比是加密的时，只有十分之一（11%）的受访者表示81-100%是加密的。此外，密钥管理平台蔓延可能是企业面临的一个问题。只有10%的受访者使用一到两个平台，90%的受访者使用三个或更多平台，几乎五分之一（17%）的受访者承认使用八个或更多平台。

在保护云中的数据时，加密应该是企业关注的优先领域。事实上，40%的受访者表示，他们能够避免违规通知过程，因为被盗或泄露的数据被加密或标记化，展示了加密平台的有形价值。

随着越来越多的公司依赖基于云的技术，特别是因为远程工作如此普遍，确保系统安全且机密数据受到保护至关重要。使用云存储不一定危险，但企业应该了解并了解如何预防一些安全漏洞。

一些最常见的云安全挑战

1、数据泄露

一个关键的云安全风险是安全措施不佳，导致数据泄露。企业必须确保其在线存储提供商保证完全保护，防止泄露或未经授权访问个人和敏感数据。

云服务通常带有可公开访问的URL，用于上传和下载文件;如果使用了不正确的安全控制，这可能会导致数据泄露。企业必须通过强链路加密和限制性访问来降低这种风险。

2、数据丢失

并非所有云服务提供商都具备在需要时处理生成备份的能力，这意味着如果企业不将其文件存储在提供可靠备份的组织，则数据丢失是一种风险。

3、帐户劫持

网络犯罪分子可以获取登录信息以访问存储在云中的敏感数据，并且已知会利用网络基础架构中的漏洞，因此最佳做法是使用经常更改的强密码。

4、内部威胁

安全威胁不仅来自外部：有权访问敏感数据的管理员、开发人员和其他受信任的员工可能会意外造成损害。培训您的员工如何正确使用云软件至关重要。

5、不安全的接口

具有不安全API的云服务会威胁信息的机密性和完整性，并面临数据和系统暴露的风险。通常，黑客将使用三种类型的攻击来尝试破坏 API：暴力攻击、拒绝服务攻击和中间人攻击。

6、无法控制存储库

通常几乎无法控制数据的存储位置;如果发生违规行为，甚至可能不知道它是否发生或在哪里发生。为了降低此风险，建议管理员了解每个位置的安全措施，并在上传之前加密其数据。

云安全风险管理的最佳实践

1、云渗透测试

云渗透测试应定期进行，作为企业风险管理策略的一部分，因为它是评估基于云的系统网络安全强度的有效且主动的方式。它像现实世界的黑客一样探测云中的漏洞，以测试系统。

2、应急计划

确保在线存储提供商有一个业务连续性计划，其中概述了在任何严重紧急情况（如自然灾害或恐怖袭击）的情况下保护存储在其服务器中的信息的策略。您还应该询问他们多久测试一次此计划以确保一切正常。

3、数据安全审计

询问服务提供商是否对安全控制进行例行审计，以保护最终用户的个人数据和存储在其网络中的敏感文件；如果没有，那么您可能需要寻找另一个云计算合作伙伴，他们可以提供有关其系统管理员实施的安全措施的完全透明度。

4、安全培训

还应该询问云存储提供商是否提供培训，以帮助教育员工了解云服务所涉及的潜在网络威胁和安全风险。员工必须了解公司数据管理系统的内部运作，尤其是在避免对最终用户的个人信息和远程存储的文件进行社会工程攻击时。

了解安全服务详情

请注意，许多服务提供商无法为客户提供24/7全天候支持，每当在办公时间以外出现问题时，这可能会非常令人沮丧。

注意

询问在线存储提供商是否为其客户提供24/7全天候技术支持，或者至少确保知道解决任何与服务相关的问题的平均响应时间。

毫无疑问，云计算使企业能够从任何地方虚拟访问其重要数据，而无需维护服务器。

注意

通过远程访问敏感和业务关键型数据，需要足够的风险管理来防止黑客破坏云应用程序。

了解云服务的风险和漏洞对于保护企业免受网络犯罪分子的侵害至关重要。包含云渗透测试服务的网络安全解决方案将大大有助于为关注其云安全性的企业提供更大的安心。

注意

云渗透测试可以为大多数云服务提供商识别和管理威胁监控，并为企业提供详细的威胁评估。

在注册云提供商之前，应该检查他们是否提供您的业务所需的安全性。

注意

研究的越多，就越容易确定哪些公司提供满足需求的最佳功能和安全性，以及哪些公司具有经过验证的机密性记录。

文章参考链接：

• *https://www.cloudcomputing-news.net/news/2022/jun/07/cloud-data-breaches-and-cloud-complexity-on-the-rise/
• *https://www.cloudcomputing-news.net/news/2022/aug/18/cloud-computing-security-risks/​