從 2020 年到 2025 年，云計算行業預計將增長一倍以上，而且很明顯，云服務只會繼續在我們的生活中扮演越來越重要的角色。云計算可以幫助組織提高生產力，更快地將產品推向市場，并降低成本而不會對性能產生負面影響。

話雖如此，云計算和其他云服務引入了利益相關者可能沒有意識到的各種云安全風險。在本文中，我們將探討 2021 年及以后需要關注的一些主要威脅。簡單地識別這些漏洞是開發更有效的云安全實踐的第一步。

合規性

各個領域的敏感數據都受到廣泛的監管，即使是看似微不足道的問題也可能導致重大處罰。這些規定包括從涵蓋學生私人信息的 FERPA 到規定患者健康信息的經常被誤解的 HIPAA 的所有內容。

如果發現您的組織不合規，您可能會被處以罰款甚至刑事處罰。例如，HIPAA 規定，對于嚴重違規行為，每次違規最高可處以50,000 美元的罰款。刑事訴訟仍然相對不常見，但在過去幾年中變得越來越普遍。

觀眾信任

丟失數據本身就已經夠糟糕了，但降低受眾信任度的影響可能更為重要。失去客戶信任的公司通常會花費數年甚至數十年的時間來重建聲譽，并可能因監管不力而錯失數萬筆銷售。

例如，Target 在 2013 年備受關注的數據泄露事件后，其季度利潤損失了近 50%。雖然它最終達到了以前的高度，但無論怎么強調該泄露事件對公司發展軌跡的影響都不為過。考慮到潛在風險，制定更有效的云安全策略對于依賴云服務的企業來說是一個相對簡單的步驟。

還值得注意的是，在出現監管問題后，法律通常要求公司讓潛在受害者知道他們可能受到了影響。該通知對任何違反 HITECH、HIPAA 或歐盟數據保護指令等關鍵法規的企業都是重大打擊。您也可能成為受違規影響的客戶提起訴訟的目標。

缺乏知名度

太多的公司都缺少一種可靠的方法來監控用戶活動并識別任何異常或可疑的行為。如果您的組織中有人違反安全策略（無論是有意還是無意），立即識別該問題以形成快速響應至關重要。

最常見的例子之一是員工將敏感數據上傳到云端，其他不應該訪問的用戶可以看到這些數據。如果沒有全面的云安全監控方法，您很容易錯過這個問題，直到它變成一個更大的問題。

云服務的另一個眾所周知的風險是，員工在辭職或被解雇之前利用他們的訪問權限下載私人信息。考慮到這些威脅，令人驚訝的是，如此多的公司繼續對自己的云安全采取松懈的方法。雖然保護您的組織免受外部風險顯然至關重要，但通常更容易忽視您的內部漏洞。

Splunk、Rapdi7 或 Fortscale 等用戶行為分析系統在后臺執行此分析。這讓您可以專注于您業務的其他領域，同時讓您高枕無憂，因為您知道您的組織的活動一直受到監控。這些系統會嚴格查看活動，無論它是否來自經過批準的用戶。

一般來說，獲得對用戶和設備訪問的更多控制和可見性將對您的組織產生積極影響。另一個常見漏洞涉及允許您的團隊成員從他們登錄的任何設備訪問敏感數據。您可以通過限制對已批準設備的權限并要求對任何其他訪問嘗試進行額外身份驗證來解決此問題。

了解風險管理

了解云安全態勢管理 (CSPM) 是保護您的云并預測其面臨的風險的第一步。云安全態勢管理是指持續監控您的云安全并不斷調整和改進它以防止攻擊。您可以與 CSPM 提供商合作，但第一步是投資數據保護。這將確保您的數據按敏感度分類，并且您可以選擇將數據發送到哪里。可能需要刪除或隔離高度敏感的數據。確保您的整個團隊都在船上，并且確切知道敏感的已刪除數據會發生什么。

保護敏感數據

敏感數據應使用您的密鑰加密。使用外部密鑰，您的云將免受不良行為者和惡意軟件的侵害，但您的云安全狀況管理服務仍然可以訪問此數據。它不會破壞您的服務提供商開展工作的能力。它只是一個額外的安全層，可以讓您高枕無憂。

您還需要設置訪問控制策略以進一步保護您的云。限制數據共享很重要。例如，通過手動設置用戶的能力來控制誰可以查看和編輯敏感信息。您可以將某些用戶設置為“查看者”模式或“編輯者”模式，并確保您對誰在查看或處理什么擁有最終決定權。這也將控制誰可以通過外部鏈接分享什么。您可能不希望外部用戶具有完全訪問和編輯能力。但是，很容易對誰有權訪問什么設置限制。

最后，您可以實施以真正確保云安全的最后兩個步驟如下：從其他設備刪除下載功能。您可以阻止其他設備下載您的文件和數據。強烈建議這樣做，因為您的云安全提供商可以從任何設備訪問您的云，從而使您面臨潛在的安全威脅。反惡意軟件保護也是您可以采取的額外步驟，以確保云環境的安全。