随着数字经济的快速发展,企业数字化转型不断加速,针对云环境的攻击越来越频繁,攻击技术和手段也在不断升级。随着云服务模式的深入应用,细分领域和场景的安全实践带来了云安全市场需求的增长。根据Gartner2022年CIO技术执行调查,52%的企业将在2022年增加云投资,而32%的企业将减少对传统基础设施和数据中心的投资。此外,46%的企业将加大对网络和信息安全的投入。由此可见,2022年大多数中国企业将加大对云安全的投入。此外,在《Gartner中国云基础设施和平台服务市场指南》,Gartner预测,2024年,中国40%的终端用户在系统基础设施和基础设施软件上的支出将转移到云服务。因此,Gartner认为,云安全将成为中国安全和风险管理领导者最关键的任务之一。Gartner认为,到2023年,99%的云安全问题将由客户的过错引起,主流云服务提供商发生重大安全事件的概率很小。Gartner还预测,到2024年,利用云基础设施和可编程性,改进云上工作负载的安全保护将表现出比传统数据中心更好的合规性,并将安全事件减少至少60%。可见,与传统的线下基础设施和平台相比,云端更加安全。但由于云安全与传统线下基础设施平台安全的差异,以及中国市场的特殊性,企业如何做好云安全也面临诸多挑战。Gartner高级分析总监高峰在接受采访时表示,企业面临的挑战主要体现在以下三个方面:相关技能。了解云安全和云安全提供商之间安全责任的分离是云安全成功的必要条件。云安全所需的技能不同于传统的边境安全。企业相关能力的缺失,使得云安全面临更大的挑战。·难以选择云安全工具。因为非中国云服务提供商(CSP)和安全供应商在中国的技术可用性存在差距,而本地供应商则专注于私有云以避免与公共云提供商竞争。·缺乏对云服务提供商的持续风险评估。很多中国企业没有对云服务提供商进行系统的风险评估,不同的云服务提供商存在不同的风险。因此,缺乏持续的风险评估将使企业的云资产面临安全威胁。可见,成功的云安全需要透彻理解云安全的责任共担模型。云服务提供商的安全、技术、工具部署和风险评估都非常重要。针对上述挑战,高峰提出了三点行动建议:通过评估云责任共担模型,明确企业和云服务提供商的安全责任范围,建立云安全所需的能力。云安全基于“责任分担”的理念,因此企业需要根据不同的部署模型与云服务提供商分担安全责任。·建立云安全架构,以云原生优先的方式使用第三方和开源工具进行安全控制,并持续监控其在中国的技术可用性。云提供商的原生安全工具与云服务高度集成。使用云原生安全工具具有成本效益高、易于部署、能够快速满足客户安全需求等特点。第三方工具可以提供更加个性化的配置和服务。开源工具不仅具有成本效益,而且提供更多的灵活性和创新性。此外,由于云共享安全责任和云产品的复杂性,企业需要新的云安全工具,例如云安全访问代理(CASB)、云工作负载保护平台(CWPP)和云安全状态管理(CSPM)等.·通过使用分层模型和利用安全认证对云服务提供商进行持续风险评估。云服务提供商的风险不容忽视,不同的风险评估方法对企业的投资和价值要求不同。常用的方法包括云服务商的宣传材料、聘请第三方评估机构或咨询机构、采用分层模型等。此外,云服务商是否有相关的安全认证也是重要参考。他还强调,希望通过这些建议,让客户了解在中国如何实施云安全,让企业在云上的资产得到更好的保护。
