隨著云計(jì)算的發(fā)展以涵蓋更多企業(yè)應(yīng)用程序，數(shù)據(jù)和流程，公司可能會(huì)選擇將其安全服務(wù)外包給供應(yīng)商。

　　一項(xiàng)行業(yè)調(diào)查顯示，許多公司需要關(guān)注安全問(wèn)題，而不是將任務(wù)交給云提供商。

云安全聯(lián)盟對(duì)241個(gè)行業(yè)專家進(jìn)行了調(diào)查，發(fā)現(xiàn)了一個(gè)“令人震驚”的云安全問(wèn)題。

　　調(diào)查的作者指出，今年許多安全問(wèn)題都指向用戶的安全責(zé)任，而不是依賴服務(wù)提供商。

我們注意到，傳統(tǒng)的云服務(wù)提供商在云安全問(wèn)題上的排名已下降。

過(guò)去，拒絕服務(wù)，共享技術(shù)漏洞，CSP數(shù)據(jù)丟失和系統(tǒng)漏洞等問(wèn)題都是高度安全隱患，現(xiàn)在排名下降。

這些表明，CSP負(fù)責(zé)的傳統(tǒng)安全問(wèn)題似乎不那么令人擔(dān)憂。

相反，我們看到了更多安全問(wèn)題，這些問(wèn)題需要解決高級(jí)管理決策帶來(lái)的技術(shù)堆棧。

　　這與《福布斯見(jiàn)解》（ForbesInsights）和VMware最近進(jìn)行的另一項(xiàng)調(diào)查相一致，該調(diào)查發(fā)現(xiàn)一些公司正試圖避免將安全措施移交給云提供商，只有31％的公司表示已將安全措施移交給云提供商。

盡管如此，仍有94％的公司在某些安全方面使用云服務(wù)。

　　最新的CSA報(bào)告重點(diǎn)介紹了今年的主要安全問(wèn)題:　　1.數(shù)據(jù)泄漏。

該報(bào)告的作者指出，數(shù)據(jù)正成為網(wǎng)絡(luò)攻擊的主要目標(biāo)。

定義數(shù)據(jù)的業(yè)務(wù)價(jià)值及其損失的影響對(duì)于擁有或處理數(shù)據(jù)的公司而言非常重要。

此外，他們補(bǔ)充說(shuō)，保護(hù)數(shù)據(jù)正在演變?yōu)檎l(shuí)有權(quán)訪問(wèn)該數(shù)據(jù)的問(wèn)題。

加密技術(shù)可以幫助保護(hù)數(shù)據(jù)，但是它可能對(duì)系統(tǒng)性能產(chǎn)生負(fù)面影響，同時(shí)降低應(yīng)用程序的用戶友好性。

　　2.配置錯(cuò)誤和更改控制不足。

基于云的資源非常復(fù)雜和動(dòng)態(tài)，這使配置具有挑戰(zhàn)性。

傳統(tǒng)的控制和變更管理方法在云中無(wú)效。

公司應(yīng)采用自動(dòng)化技術(shù)，并采用能夠持續(xù)掃描錯(cuò)誤配置的資源并實(shí)時(shí)解決問(wèn)題的技術(shù)。

　　3.缺少云安全體系結(jié)構(gòu)和策略。

確保安全體系結(jié)構(gòu)與業(yè)務(wù)目標(biāo)一致。

開(kāi)發(fā)和實(shí)施安全體系結(jié)構(gòu)框架。

　　4.身份，憑據(jù)，訪問(wèn)和密鑰管理不足。

安全帳戶包括兩因素身份驗(yàn)證和有限的根帳戶使用。

針對(duì)云用戶和身份的最嚴(yán)格的身份和訪問(wèn)控制。

　　5.帳戶劫持。

這是必須認(rèn)真對(duì)待的威脅。

防御和IAM控制是減少帳戶劫持的關(guān)鍵。

　　6.內(nèi)部威脅。

采取措施減少內(nèi)部過(guò)失有助于減輕內(nèi)部威脅的后果。

為您的安全團(tuán)隊(duì)提供培訓(xùn)，以正確安裝，配置和監(jiān)視計(jì)算機(jī)系統(tǒng)，網(wǎng)絡(luò)，移動(dòng)設(shè)備和備份設(shè)備。

CSA還敦促“定期對(duì)員工進(jìn)行培訓(xùn)”。

為普通員工提供有關(guān)如何應(yīng)對(duì)網(wǎng)絡(luò)釣魚(yú)等安全風(fēng)險(xiǎn)的培訓(xùn)，并保護(hù)他們?cè)诠就獠康墓P記本電腦和移動(dòng)設(shè)備上攜帶的公司數(shù)據(jù)。

　　7.不安全的接口和API。

保證良好的API。

良好做法包括對(duì)庫(kù)存進(jìn)行仔細(xì)的監(jiān)督，測(cè)試，審計(jì)和保護(hù)異?；顒?dòng)。

此外，考慮使用標(biāo)準(zhǔn)和開(kāi)放的API框架（例如，開(kāi)放云計(jì)算接口（OCCI）和云基礎(chǔ)架構(gòu)管理接口（CIMI））。

　　8.控制平面弱。

公司應(yīng)進(jìn)行詳細(xì)調(diào)查，并確定他們打算使用的云服務(wù)是否具有足夠的控制平面。

　　9.元結(jié)構(gòu)和應(yīng)用程序結(jié)構(gòu)故障。

云服務(wù)提供商必須提供可見(jiàn)性和開(kāi)放的緩解措施，以彌補(bǔ)租戶對(duì)云的固有缺乏透明度。

應(yīng)該對(duì)所有csp進(jìn)行滲透測(cè)試，并將結(jié)果提供給客戶。

　　10.有限的云使用情況可見(jiàn)性。

降低風(fēng)險(xiǎn)始于從頭到尾開(kāi)發(fā)完整的云可見(jiàn)性工作。

需要在全公司范圍內(nèi)培訓(xùn)公認(rèn)的云使用策略及其實(shí)施。

所有未經(jīng)批準(zhǔn)的云服務(wù)都必須由云安全架構(gòu)師或第三方風(fēng)險(xiǎn)管理器進(jìn)行審核和批準(zhǔn)。

　　11.濫用和惡意使用云服務(wù)。

公司應(yīng)監(jiān)視在云上工作的員工，因?yàn)閭鹘y(tǒng)機(jī)制無(wú)法減輕與云服務(wù)使用相關(guān)的風(fēng)險(xiǎn)。