根據市場研究公司VansonBourne的調查，并由網絡監控解決方案提供商Gigamon的贊助，73％的受訪者預計他們的大部分應用程序工作負載都在公共云或私有云中。然而，35％的受訪者希望以與他們的內部部署操作“完全相同的方式”處理網絡安全。其余的人雖然不愿意改變，但他們也別無選擇，只能改變他們的云安全策略。

當然，并不是每家公司都想要將敏感或關鍵數據遷移到云端。但是，大多數公司正在遷移關鍵性和專有的公司信息（56％）或營銷資產（53％）。47％的受訪者希望在云中擁有個人身份信息，這可能是受到新的隱私法規（如歐盟的GDPR）的影響。

根據Govshteyn的說法，公司應該關注云安全戰略的三個主要領域：

1.工具。您在云環境中部署的安全工具，必須能夠保護Web應用程序和云工作負載。Govshteyn說：

為終端保護制定的安全技術，主要集中在一組在云中不常見的攻擊媒介，并且不具備應對OWASP Top 10威脅的能力，這些威脅占所有云攻擊的75％。” 他指出，終端威脅針對Web瀏覽器和客戶端軟件，而基礎架構威脅則針對服務器和應用程序框架。

2.結構。圍繞云提供的安全和管理優勢定義您的架構，而不是您在傳統數據中心中使用的相同架構。Govshteyn說：

我們現在有數據顯示，純公共環境允許企業降低事故率，但只有使用云功能設計更安全的基礎設施才能實現這一目標。

他建議您在自己的虛擬私有云中隔離每個應用程序或微服務，這樣可以減少入侵范圍。例如雅虎，利用Web應用程序作為初始入口，因此在人們看來最不重要的應用程序通常成為您最大的問題。此外，不要修補云部署中的漏洞。相反，部署運行最新代碼的新云基礎架構，并停用舊基礎架構。Govshteyn說：

只有自動化部署才能實現這一目標，但在傳統數據中心，您將無法獲得對基礎架構的控件。

3.連接點。問題在于確定云部署與運行舊代碼的傳統數據中心互連的點。

并非關于公司現有安全策略的所有內容都必須針對云進行更改。Gigamon產品營銷高級經理Tom Clavel說：

使用相同的安全策略，例如，對威脅檢測的深入內容檢查（對于云作為內部部署其實是一個很好的想法）。追求這一目標的公司通常會尋求其安全架構之間的一致性，以限制其安全狀況的差距。但問題在于他們如何獲得網絡流量來進行這種檢查。

云的可見性問題

VansonBourne受訪者提出了一個問題，云可能會在安全領域內造成盲點。總體而言，有一半人表示云可以“隱藏”信息，使他們能夠識別威脅。使用云，他們也丟失了一些加密內容（48％）、不安全應用程序或流量（47％）或SSL / TLS證書有效性（35％）的信息。

據49％的調查受訪者稱，混合云環境可能會進一步阻礙可見性，因為它可能會阻止安全團隊查看數據的實際存儲位置。78％的受訪者表示，在Siloed的數據中，其中一些由安全運營部門和一些網絡運營部門控制，這會使搜索數據更模糊。

這些數據不僅僅對安全團隊對可見性是有限的。百分之七十七的VansonBourne受訪者表示，網絡盲點是他們保護組織的障礙。為了獲得更好的可見性，Clavel建議您首先確定如何組織和實施安全狀態。他說：

不管是在云中，還是從內部擴展到云？在這兩種情況下，確保應用程序網絡流量的普遍可見性是的安全策略的核心。你能看得越多，你就能越安全。

為了滿足可見性需求，確定一種獲取和優化安全工具的網絡流量的方法，無論是入侵檢測系統（IDS）、安全信息和事件管理（SIEM）、取證、數據丟失防護（ DLP）、高級威脅檢測（ATD）、或同時對所有這些，添加SecOps程序，可以自動化檢測到威脅的可見性和安全性。

這些盲點可見性可能會產生GDPR合規性問題。66％的受訪者表示，缺乏可見性將使GDPR合規性變得困難。只有59％的受訪者認為他們的組織將在2018年5月前為GDPR做好準備。

安全策略無法跟上云應用的步伐

根據2018年Oracle和畢馬威云計算威脅報告，87％的公司現在采用云優先戰略，90％的公司表示他們在云中擁有的數據中有一半是敏感的。來自同一報告的數據顯示，雖然這些公司已采取積極的方式采用云，但安全實踐和政策似乎并沒有趕上。

Oracle / KPMG報告中的數據來自450個網絡安全和來自世界各地的專業人士的調查。受訪者雖然擔心云安全，但大多數人都沒能采取一些明顯的措施來降低云中敏感數據的風險。

· 82％的人認為他們的員工不遵守云安全程序，但86％的員工表示無法收集和分析大部分安全事件數據。

· 只有38％的受訪者表示，檢測和響應云安全事件是他們面臨的首要網絡安全挑戰。  

· 只有41％的人擁有專業的云安全架構。