如今，越來越多的企業正在將數據和應用程序遷移到云中，這帶來了獨特的信息安全挑戰。而企業在使用云計算服務時將面臨11個主要的云安全威脅。

云計算繼續改變企業使用、存儲和共享數據、應用程序、工作負載的方式。它還帶來了許多新的安全威脅和挑戰。隨著大量數據進入云計算(尤其是公共云服務)，這些資源自然成為不良行為者的目標。

調研機構Gartner公司副總裁兼云安全負責人Jay Heiser表示，“公共云應用正在迅速增長，因此不可避免地導致敏感信息面臨更多的潛在風險。”

與許多人的想法相反，保護企業在云中數據的主要責任不在于服務提供商，而在于客戶本身。Heiser表示，“我們正處于一個云安全過渡期，在這個過渡期內，人們的注意力正從提供商轉向客戶。很多企業正在認識到，花大量時間試圖弄清楚某個云計算服務提供商是否‘安全’實際上沒有回報。”

為了使組織對云安全問題有新的了解，以便他們可以就云采用策略做出有根據的決策，云安全聯盟(CSA)發布了其新版本的《云計算的11個最大威脅報告》。

該報告反映了云安全聯盟(CSA)社區中的安全專家之間當前就云中最重要的安全問題達成的共識。云安全聯盟(CSA)表示，盡管云中存在許多安全問題，但這個列表主要關注11個與云計算的共享、按需特性相關的問題。

去年的調查報告中列出的幾項威脅排名今年有所下降，其中包括拒絕服務、共享技術漏洞、云計算服務提供商數據丟失和系統漏洞。報告指出，“調查表明，由云計算服務提供商負責的傳統安全問題似乎不那么令人擔憂。相反，我們看到更多的是需要解決位于技術堆棧更高層的安全問題，是高級管理層決策的結果。”

為了確定人們更為關注的問題，云安全聯盟(CSA)對行業專家進行了一項調查，以就云計算中比較大的安全性問題收集專業意見。以下是主要的云安全性問題(按調查結果的嚴重性順序依次排列)：

1.數據泄露

數據泄露的威脅在去年的調查中仍然保持其首要的位置。不難理解其原因，因為數據泄露可能會嚴重損害企業的聲譽和財務。它們可能會導致知識產權(IP)損失和重大法律責任。

云安全聯盟(CSA)關于數據泄露威脅的關鍵要點包括：

攻擊者需要獲取數據，歐洲服務器租用，因此企業需要定義其數據的價值及其丟失的影響。 誰有權訪問數據是解決保護數據的關鍵問題。 通過全球互聯網可訪問的數據最容易受到錯誤配置或利用。

加密可以保護數據，但需要在性能和用戶體驗之間進行權衡。

企業需要考慮云服務提供商經過測試的可靠事件響應計劃。

2.配置錯誤和變更控制不足

配置錯誤和變更控制不足是對云安全聯盟(CSA)列表的新威脅，考慮到許多企業意外地通過云計算泄露數據的例子，這不足為奇。例如，云安全聯盟(CSA)引用了Exactis事件，云計算提供商因配置錯誤開放了Elasticsearch數據庫，其中包含2.3億名美國消費者的個人數據，可供公眾訪問。由于備份服務器配置不正確，其威脅與數據泄露一樣嚴重， Level One Robotics公司泄露了100多家制造公司的IP。

云安全聯盟(CSA)表示，這不僅僅是企業必須關注的數據丟失，還有為了破壞業務而刪除或修改資源。報告將大部分錯誤配置歸咎于糟糕的變更控制實踐。

云安全聯盟(CSA)關于配置錯誤和變更控制不力的關鍵要點包括：

基于云計算的資源的復雜性使其難以配置。

不要期望傳統的控制和變更管理方法在云中有效。

使用自動化和技術，這些技術會持續掃描錯誤配置的資源。

3.缺乏云安全架構和策略

這個問題從云計算出現時就一直存在，但今年已成為云安全聯盟(CSA)的新問題。將系統和數據遷移到云中所需的時間最小化的愿望通常優先于安全性。因此，該公司可以使用非針對其設計的安全性基礎設施和策略在云中運營。這出現在2019年的清單上的事實表明，更多的企業意識到這是一個值得關注的問題。

云安全聯盟(CSA)關于缺乏云安全架構和策略的關鍵要點包括：

安全體系結構需要與業務目標保持一致。

開發和實施安全體系結構框架。

保持威脅模型為新的版本。

部署連續監視功能。

4.身份、憑證、訪問和密鑰管理不力

列表中的另一個新威脅是對數據、系統和物理資源(如服務器機房和建筑物)的訪問管理和控制不力。該報告指出，美國服務器，云計算要求企業改變與身份和訪問管理(IAM)有關的做法。沒有這樣做的后果可能導致安全事件和破壞，其原因是：

憑據保護不足 缺乏自動輪換密碼密鑰、密碼和證書的功能 缺乏可擴展性 無法使用多因素身份驗證 無法使用強密碼

云安全聯盟(CSA)關于身份、證書、訪問和密鑰管理不足的關鍵要點包括：

安全帳戶，包括使用雙因素身份驗證 限制使用root帳戶

根據業務需求和最低特權原則，隔離和細分帳戶、虛擬私有云和身份組 采用程序化、集中式方法進行密鑰輪換。

刪除未使用的憑據和訪問權限。

5.帳戶劫持