數據和各類服務向云端遷移不禁讓很多企業開始重新思考自己的網絡安全體系。企業上云后究竟會面臨什么樣的安全風險？

對乙方來說，本文是一個可作參考的 checklist——我采購的云安全工具與服務是否能夠保護我所有的敏感數據？是否能夠抵御以下每一項細分的云安全威脅？是否能夠防御云環境中的六大攻擊模式？

對于安全廠商來說，也可以反思自己的云安全產品與服務現狀：我現有的云安全能力能夠保護哪些敏感數據？能夠抵御哪些細分的云安全威脅？針對多樣的云攻擊模式，我已經具備哪些對應的解決方案？

一、云上有哪些敏感數據？ 1. 邁克菲《Cloud Adoption and Risk Report 2018》

2018 年 10 月，邁克菲發布了一個名為《Cloud Adoption and Risk Report 2018》的報告。該研究表明，2018 年通過云共享敏感數據的數量比上一年增加 53％——這是一個巨大的漲幅。

邁克菲的報告指出，云上的所有文件中，有 21% 是敏感數據，并且其中有 48% 的敏感文件最終會被共享。僅去年一年就有超過 28% 的機密數據存儲在云端。

敏感數據包括企業機密數據 (27%)、電子郵件數據 (20%)、密碼保護數據 (17%)、個人身份信息 (PII) (16%)、付款信息 (12%) 以及個人病歷 (9%)。隨著人們對云計算的信任度和依賴度不斷提高，云上的機密數據也面臨了越來越高的安全風險。

而被黑客竊取不是這些數據所面臨的唯一風險。邁克菲發現，每個企業平均有 14 個配置錯誤的 IaaS（基礎架構即服務）在運行，每月平均有 2200 個錯誤配置引起的安全事件發生。

2. SANS Institute《 2019 年云安全報告》

而 SANS 今年 5 月發布了《 2019 年云安全報告》，調查樣本達數百個，涵蓋金融、IT、政府等多個行業，所在企業規模跨度大、地域分布廣，從事職業包括安全分析師、IT部門管理人員、CSO、CISO、合規分析師等等。

該調查顯示，云上存儲量最大的是與商業智能相關的數據 (48.2%)，知識產權類數據幾乎持平 (47.7%)，其次是客戶個人數據 (47.7%) 和財務數據 (41.7%)，另外存儲量較大的還包括企業員工信息 (37.7%)。詳見下圖：

云上敏感數據（數據來源：SANS Institute）

二、云安全威脅類型有哪些？ 1. Alert Logic 研究報告

云安全廠商 Alert Logic 曾統計過一組關于與本地數據中心相比，每種形式的云環境所面臨的風險性質和數量的數據。該調查總共歷時 18 個月，分析了 3800 多家客戶 147 PB 的數據，對安全事件進行量化和分類。主要發現如下：

在混合云環境下，每個用戶平均遭遇的安全事件數最高，達977件，其次是托管私有云 (684)、本地數據中心 (612) 和公共云 (405)。

到目前為止，最常見的事件類型是 Web 應用程序攻擊 (75％)，其次是暴力攻擊 (16％)、偵察 (5％) 與服務器端勒索軟件 (2％)。

Web 應用程序攻擊最常見的方法是 SQL (47.74％)，其次是 Joomla (26.11％)、Apache Struts (10.11％) 和 Magento (6.98％)。

WordPress 是最常見的暴力攻擊目標，占 41％；其次是 MS SQL，占 19％。

2. SANS Institute《 2019 年云安全報告》

第二組云環境所面臨威脅的數據仍來自于 SANS Institute 的《 2019 年云安全報告》。該調查發現，最嚴重的云威脅是身份劫持 (Account or credential hijacking0，達到 48.9%，其次是云服務的錯誤配置 (42.2%)，該數據也與前文邁克菲研究報告中發現的現象相吻合——“黑客攻擊不是云上敏感數據所面臨的唯一風險，錯誤配置問題也是導致大量安全事件的主要原因”。

排名第三的威脅是內部用戶的權限濫用 (Privileged user abuse)。其它威脅還包括未授權的應用程序組件、不安全的 API 接口、“影子IT”、拒絕服務攻擊、敏感數據直接從云應用上外泄、利用云廠商本身存在的漏洞或開放的 API、虛擬化攻擊、與其它托管云應用交叉使用過程中產生的安全風險等等。

云環境中的細分威脅類型（數據來源：SANS Institute）

如何減少安全威脅對云的影響，這里有 3 個基本但極其重要的建議：

對未知程序進行白名單訪問攔截，包括對組織中使用的每個應用程序進行風險評估。 掌握整個修復過程并提高修復工作的優先級。 根據當前用戶職責限制訪問權限——對應用程序與操作系統的權限進行實時更新。 三、云環境的六大攻擊模式