本文将介绍关键的云安全挑战以及如何应对和解决这些挑战。

背景

云计算依然如火如荼，增长迅猛，国内外都是。据Gartner之前的预测：

根据 Gartner, Inc. 的最新预测，到 2022 年，全球最终用户在公共云服务上的支出预计将增长 20.4%，达到 4947 亿美元，高于 2021 年的 4109 亿美元。到 2023 年，最终用户支出预计将达到近 6000 亿美元。

尽管如此，依然有很多没上云的企业和没上云的业务。是什么让这些公司犹豫不决？主要云安全挑战和担忧是什么？以下，我们就是要看看这些关键问题和挑战，以及可以做些什么。

挑战一：技能短缺
为了快速转型到云的应用上，许多网络安全公司为技术工具制定了预算，但却完全忘记了提升其员工的技能，这导致了一项主要的云安全挑战，即缺乏技能。可以说，网络安全部门在云安全技能方面仍然严重落后，最终过度依赖工具或简单地将问题外包给服务提供商两者都不是一个合适的长期解决方案。

应对方案
技能问题需要在两个层面上解决。认证通常是第一步，但需要辅之以基础设施即代码 (Iac)、容器和无服务器等技术的实际实践经验。没有这些技能，网络安全安全团队将无法为决策制定增加价值，并且只能拥有理论知识。让你的员工多多参与云安全认证是一个很有价值的提升过程(后续笔者将调研下当前比较有含金量的云安全认证)，当然投入到具体云安全项目实践中也很重要。
必然的，云相关技能有一个学习曲线，需要在您的云项目中加以适应。给团队时间和预算来提高技能不仅从长远来看会有所回报，而且会让他们看到公司对他们的投资，从而提高他们的积极性。

挑战二：云安全不是本地安全
据笔者观察，市面上有些云安全厂商对云安全的理解并不深刻，他们所谓的云安全还停留在将主机安全的整套机制移植到云环境。这也是前面哪个问题（即缺乏云安全技能）的一个副作用。公司会错误地不利用云提供的本地工具，而是将现有的本地(主机)安全模型“复制、粘贴”到云环境中。云与本地完全不同，可以彻底改造事件响应和安全监控的安全模型。例如，如果您仍然只是记录云上发生的事件而没有适当的自动修复，那么您就错过了一个关键的改进机会！
以下只是本地安全和云安全的一些不同之处：

1. 云安全是API和软件驱动的
2. 云安全由你和供应商共同承担
3. 云安全需要快速响应和自动修复

应对方案
与之前的挑战类似，解决此问题的唯一方法是提高员工的技能并让他们掌握云知识。将云安全项目和认证与您的年度评估周期和激励措施联系起来。这将有助于创造一个竞争环境，并进一步激励您的员工在云中进行创新。

挑战三：云安全和身份

公司上云面临的一个巨大挑战是没有从一开始就制定适当的身份战略。云的性质使其可以在您的安全边界之外访问，并且云项目通常涉及向合作伙伴和顾问提供访问权限。这会给您的服务台带来巨大负担，并可能导致权限配置错误，从而增加攻击者的攻击面。您的身份成为云中的防火墙，在整体安全策略中应同等重要。

应对方案
如果您的云安全策略不涉及单点登录 (SSO) 技术，那么您应该将其放在首位。随着云空间的增长，SSO 将为您提供单一的事实和规模。（没有它就不要考虑使用多云！）一旦你有了 SSO，你就可以开始专注于实施多因素身份验证、日志记录和其他基于上下文的策略，但要确保 SSO 作为基准。大多数云供应商已经提供了此功能，因此没有理由不从一开始就启用此功能并全面提供一致的基于用户的体验。

挑战四：云安全配置错误！
云能够轻松实现部署和基础架构更改，是过度劳累的 IT 团队的救星。但是存在一个事实：配置错误，是云中发生漏洞的主要原因之一。
很多时候，IT 团队不小心将不安全的基础设施暴露给云，并且由于安全团队在云中的可见性有限或者只是不知道云基础设施的工作原理而没有发出警报。在多云环境中，这会成为一个更大的问题，每个环境都有自己独特的一组控件需要学习。简单的一键式部署可能会导致生产数据库通过互联网暴露给攻击者。

应对方案
大多数云安全供应商都提供云安全态势管理 (CSPM) 解决方案，可实现云环境的集中可见性和自动修复。如果这些成本太高，那么大多数云提供商都有自己的本地解决方案，价格更便宜。如果您的公司计划了多云路线图，那么从长远来看，投资合适的 CSPM 绝对是值得的，并且可以让您免于日后的痛苦。大多数 CSPM 还为管理层和 CISO 提供执行报告，使他们能够通过单一视图查看云环境的风险仪表板。
挑战五：数据泄露
与之前的挑战类似，云使共享数据变得极其容易和方便。只需单击一个按钮即可与外部方共享文档，并完全绕过现有的互联网和电子邮件控制。具有可用链接的任何人通常都可以访问同一文档并进行转发，从而导致数据泄露的噩梦。同样，云存储桶等云数据存储可能会公开暴露，从而导致敏感数据泄露和潜在的诉讼。数据泄漏一直是最大的云安全挑战之一，也是云采用的主要障碍！

应对方案
除非公司想限制从互联网访问他们的云（但是这在大多数情况下并不实际），否则数据泄漏是一个关键风险，需要从一开始就加以缓解。可以采用云访问安全代理 (CASB) ，它是一个基于云的 DLP，可以发现并阻止从云环境中泄露数据的尝试。

全文完