組織將其業務遷移到云端之前，需要了解可能面臨的云安全挑戰，以及如何應對這些挑戰。

所有云計算平臺的主要承諾(例如提高IT效率、靈活性和可擴展性)都面臨一個重大挑戰：安全性。

許多組織無法界定云計算服務提供商(CSP)的職責在何處終止以及他們的職責從何處開始，因此可能存在更多漏洞。云計算的擴展性也增加了組織的潛在攻擊面。而使問題進一步復雜化的是，免備案主機，傳統的安全控制措施通常無法滿足云安全需求。

為了幫助組織了解他們面臨的云計算挑戰，云安全聯盟(CSA)在10年前成立了一個專業團隊。這個由行業人士、架構師、開發人員以及組織高管組成的調查團隊確定了一個包含25種安全威脅的列表，然后由安全專家進行分析，并對這些安全威脅進行排名，并將這些安全威脅精簡到11種最常見的云計算安全挑戰：

(1)數據泄露;

(2)配置錯誤和變更控制不足;

(3)缺乏云安全架構和策略;

(4)身份、憑證、訪問和密鑰管理不足;

(5)帳戶劫持;

(6)內部威脅;

(7)不安全的接口和API;

(8)控制平臺薄弱;

(9)元結構和應用程序結構失效;

(10)有限的云使用可見性;

(11)濫用和惡意使用云計算服務。

從那時起，云安全聯盟(CSA)每兩年發布一份調查報告。而日前發布的一份名為“令人震驚的云計算的11個最大威脅”的報告，其中詳細說明了這些威脅以及確定是誰的責任，或者是客戶的責任，或者云計算服務提供商(CSP)的責任，還是兩者都有責任，并提供了幫助組織實施云計算安全保護的步驟。

云安全聯盟(CSA)發布的第五份調查報告顯示了一些重大變化。值得注意的是，這11種主要安全威脅中有6種威脅是新出現的。此外，這些威脅并不是云計算服務提供商(CSP)的全部責任，而都與客戶有關，或者是云計算服務提供商(CSP)和客戶共同承擔的責任。

云安全聯盟(CSA)全球研究副總裁John Yeoh表示：“我們注意到，最主要的趨勢是組織對客戶的控制力有所增強。”他將發生的這些變化歸因于兩件事：或者組織對云計算服務提供商(CSP)信任度顯著提高，或者組織希望加強控制并更好地了解他們在云平臺中可以做些什么，以及如何使用云服務滿足其特定的安全要求。

在今年發布的調查報告中，根據對受訪者進行的調查，以下是按嚴重程度排列的11種安全威脅以及每種安全威脅的緩解措施：

1.數據泄露

云安全聯盟(CSA)的這份調查報告表明，數據泄露仍然是云計算服務提供商(CSP)及其客戶的責任，在2021年仍然是最大的云安全威脅。在過去幾年中，許多數據泄露都歸因于云平臺，其中最引人注目的事件之一就是Capital One公司的云計算配置錯誤。

數據泄露可能會使一些組織陷入困境，聲譽遭受不可逆轉的損害，并且由于監管影響、法律責任、事件響應成本，以及市場價值下降而造成財務方面的困難。

云安全聯盟(CSA)的建議如下：

確定數據價值及其損失的影響;

通過加密保護數據;

制定強有力的、經過充分測試的事件響應計劃。

云安全聯盟(CSA)的云控制矩陣(CCM)規范包括以下內容：

執行數據輸入和輸出完整性例程;

將最小特權原則應用于訪問控制;

建立安全刪除和處置數據的政策和程序。

云安全聯盟(CSA)的云控制矩陣是云安全聯盟(CSA)安全指南的支持文件，這份指南是第四代文檔，概述了各種云域及其主要目標。

云控制矩陣(CCM)提供了按控制區域和控制ID分類的需求和控制的詳細列表，每個列表對應于其控制規范、架構相關性、云交付模型(SaaS、PaaS和IaaS)，以及標準和框架(如PCI DSS、NIST和FedRAMP)。

2.配置錯誤和變更控制不足

如果資產設置不正確，則很容易受到網絡攻擊。例如，Capital One公司的安全漏洞可以追溯到泄露Amazon S3存儲桶的Web應用程序防火墻配置錯誤。除了不安全的存儲之外，權限過大和使用默認憑據也是出現數據漏洞的另外兩個主要來源。

與此相關的是，無效的變更控制可能會導致云計算配置錯誤。在按需實時云計算環境中，更改控制應該實現自動化以支持快速更改。

客戶的責任，錯誤的配置和變更控制是云安全威脅列表的新增內容。

云安全聯盟(CSA)的建議如下：

特別關注可通過互聯網訪問的數據;

定義數據的業務價值及其丟失的影響;

創建并維護強有力的事件響應計劃。

云控制矩陣(CCM)規范包括以下內容：

確保外部合作伙伴遵守內部開發人員使用的變更管理、發布和測試程序;

按計劃的時間間隔進行風險評估;

對承包商、第三方用戶和員工進行安全意識培訓。

3.缺乏云安全架構和策略