隨著云計算的發(fā)展以涵蓋更多企業(yè)應(yīng)用程序，數(shù)據(jù)和流程，公司可能會選擇將其安全服務(wù)外包給供應(yīng)商。

　　一項行業(yè)調(diào)查顯示，許多公司需要關(guān)注安全問題，而不是將任務(wù)交給云提供商。

云安全聯(lián)盟對241個行業(yè)專家進行了調(diào)查，發(fā)現(xiàn)了一個“令人震驚”的云安全問題。

　　調(diào)查的作者指出，今年許多安全問題都指向用戶的安全責(zé)任，而不是依賴服務(wù)提供商。

我們注意到，傳統(tǒng)的云服務(wù)提供商在云安全問題上的排名已下降。

過去，拒絕服務(wù)，共享技術(shù)漏洞，CSP數(shù)據(jù)丟失和系統(tǒng)漏洞等問題都是高度安全隱患，現(xiàn)在排名下降。

這些表明，CSP負責(zé)的傳統(tǒng)安全問題似乎不那么令人擔(dān)憂。

相反，我們看到了更多安全問題，這些問題需要解決高級管理決策帶來的技術(shù)堆棧。

　　這與《福布斯見解》（ForbesInsights）和VMware最近進行的另一項調(diào)查相一致，該調(diào)查發(fā)現(xiàn)一些公司正試圖避免將安全措施移交給云提供商，只有31％的公司表示已將安全措施移交給云提供商。

盡管如此，仍有94％的公司在某些安全方面使用云服務(wù)。

　　最新的CSA報告重點介紹了今年的主要安全問題:　　1.數(shù)據(jù)泄漏。

該報告的作者指出，數(shù)據(jù)正成為網(wǎng)絡(luò)攻擊的主要目標。

定義數(shù)據(jù)的業(yè)務(wù)價值及其損失的影響對于擁有或處理數(shù)據(jù)的公司而言非常重要。

此外，他們補充說，保護數(shù)據(jù)正在演變?yōu)檎l有權(quán)訪問該數(shù)據(jù)的問題。

加密技術(shù)可以幫助保護數(shù)據(jù)，但是它可能對系統(tǒng)性能產(chǎn)生負面影響，同時降低應(yīng)用程序的用戶友好性。

　　2.配置錯誤和更改控制不足。

基于云的資源非常復(fù)雜和動態(tài)，這使配置具有挑戰(zhàn)性。

傳統(tǒng)的控制和變更管理方法在云中無效。

公司應(yīng)采用自動化技術(shù)，并采用能夠持續(xù)掃描錯誤配置的資源并實時解決問題的技術(shù)。

　　3.缺少云安全體系結(jié)構(gòu)和策略。

確保安全體系結(jié)構(gòu)與業(yè)務(wù)目標一致。

開發(fā)和實施安全體系結(jié)構(gòu)框架。

　　4.身份，憑據(jù)，訪問和密鑰管理不足。

安全帳戶包括兩因素身份驗證和有限的根帳戶使用。

針對云用戶和身份的最嚴格的身份和訪問控制。

　　5.帳戶劫持。

這是必須認真對待的威脅。

防御和IAM控制是減少帳戶劫持的關(guān)鍵。

　　6.內(nèi)部威脅。

采取措施減少內(nèi)部過失有助于減輕內(nèi)部威脅的后果。

為您的安全團隊提供培訓(xùn)，以正確安裝，配置和監(jiān)視計算機系統(tǒng)，網(wǎng)絡(luò)，移動設(shè)備和備份設(shè)備。

CSA還敦促“定期對員工進行培訓(xùn)”。

為普通員工提供有關(guān)如何應(yīng)對網(wǎng)絡(luò)釣魚等安全風(fēng)險的培訓(xùn)，并保護他們在公司外部的筆記本電腦和移動設(shè)備上攜帶的公司數(shù)據(jù)。

　　7.不安全的接口和API。

保證良好的API。

良好做法包括對庫存進行仔細的監(jiān)督，測試，審計和保護異常活動。

此外，考慮使用標準和開放的API框架（例如，開放云計算接口（OCCI）和云基礎(chǔ)架構(gòu)管理接口（CIMI））。

　　8.控制平面弱。

公司應(yīng)進行詳細調(diào)查，并確定他們打算使用的云服務(wù)是否具有足夠的控制平面。

　　9.元結(jié)構(gòu)和應(yīng)用程序結(jié)構(gòu)故障。

云服務(wù)提供商必須提供可見性和開放的緩解措施，以彌補租戶對云的固有缺乏透明度。

應(yīng)該對所有csp進行滲透測試，并將結(jié)果提供給客戶。

　　10.有限的云使用情況可見性。

降低風(fēng)險始于從頭到尾開發(fā)完整的云可見性工作。

需要在全公司范圍內(nèi)培訓(xùn)公認的云使用策略及其實施。

所有未經(jīng)批準的云服務(wù)都必須由云安全架構(gòu)師或第三方風(fēng)險管理器進行審核和批準。

　　11.濫用和惡意使用云服務(wù)。

公司應(yīng)監(jiān)視在云上工作的員工，因為傳統(tǒng)機制無法減輕與云服務(wù)使用相關(guān)的風(fēng)險。