家修

在全球新冠疫情大流行期間，世界各地的企業(yè)組織紛紛將數(shù)字化建設的重點轉(zhuǎn)移到為遠程員工和虛擬環(huán)境提供支持，因此云計算的建設和應用得到了快速發(fā)展。而在此期間，一些非法攻擊者也看到了機會，針對云計算的網(wǎng)絡攻擊開始不斷增加。這讓很多企業(yè)管理者對云計算的應用安全性產(chǎn)生了誤解。

云計算的本質(zhì)就是不安全的

自從企業(yè)組織向云上遷徙開始，許多科技類、行業(yè)類甚至安全類的專業(yè)媒體就一直在向公眾反復傳遞一種觀點，上云后會面臨更大的安全挑戰(zhàn)，云計算的本質(zhì)似乎就代表了不安全性。持有這種觀點的人，往往過分聚焦在云計算的一個特性：它實現(xiàn)了更廣泛的訪問和連接，可以從世界任何地方通過互聯(lián)網(wǎng)訪問，所以很容易受到網(wǎng)絡攻擊和數(shù)據(jù)泄露等威脅。

其實，對于任何信息化系統(tǒng)來說，完全保證安全是不可能的。在傳統(tǒng)網(wǎng)絡系統(tǒng)上，即便企業(yè)大量采用了加密、防火墻、IPS、WAF和DLP等安全防護措施，攻擊者也總有可能繞過這些防御措施，非法獲取到敏感數(shù)據(jù)。對于云計算應用而言，其面對的安全威脅態(tài)勢和傳統(tǒng)信息化應用并沒有明顯的差別。而且，相比很多企業(yè)普遍存在的專業(yè)安全運營能力不足，云服務提供商（CSP）更有能力和條件，確保底層計算設備不斷更新和加固，從而有效抵御各種可能的威脅。此外，目前主流的CSP均能夠提供各種內(nèi)置安全工具和能力，這大大簡化了企業(yè)云安全管理的難度。

事實上，今天的CSP在保護客戶云計算應用安全方面投入了大量資金和人力，CSP通常采用了比一般企業(yè)組織更先進的安全措施。他們有專門的安全團隊，專職負責檢測和應對安全威脅，并不斷改善云計算平臺的整體安全態(tài)勢。這些安全團隊會持續(xù)性地收集、研究最新的威脅情報，并不間斷地對云計算平臺安全威脅狀況進行監(jiān)控。

CSP可以窺視企業(yè)的云上數(shù)據(jù)

關于云計算應用的最大誤解之一就是CSP可以不受制約地訪問和獲取客戶的云上數(shù)據(jù)。被媒體大量報道的云上數(shù)據(jù)泄露和非法訪問事件加劇了使用者的這一誤解，引發(fā)了企業(yè)對云計算應用時的隱私性和數(shù)據(jù)安全擔憂。

一旦數(shù)據(jù)進入云端，客戶就幾乎無法控制數(shù)據(jù)，這確實會引發(fā)企業(yè)的擔心。但事實上，盡管CSP在向客戶提供云計算應用服務時，有時會需要訪問客戶的云基礎設施，但他們的各種運營行為都會受到嚴格而廣泛的數(shù)據(jù)隱私法規(guī)約束，以確保用戶云上數(shù)據(jù)的機密性和安全性。此外，CSP還需要按照監(jiān)管機構(gòu)要求嚴格管理和保護云上的數(shù)據(jù)安全，主動應對和降低數(shù)據(jù)泄露的風險。

實現(xiàn)云應用安全太過昂貴

造成這種誤解的原因是，一些企業(yè)往往只關注了實現(xiàn)云應用安全的初始成本，卻忽略云計算應用的長期性好處及投入性價比。通過將云基礎設施和安全運營維護外包給CSP，企業(yè)組織可以在計算設備、軟件系統(tǒng)和安全人員配備上節(jié)省大量的資金投入。

此外，CSP還可以提供可靈活的可擴展性，讓企業(yè)更好地適應未來不斷變化的業(yè)務發(fā)展需求，從而實現(xiàn)對云計算資源的按需使用。當企業(yè)組織與CSP合作時，可以依靠CSP的專業(yè)知識和系統(tǒng)化資源來獲得一流的安全性和災備服務，避免了單獨評估、管理和維護這些服務時的人力和成本投入。

只有大企業(yè)才能安全地使用云

對于很多中小企業(yè)來說，理解和使用云計算這樣的技術是有一個學習曲線的。因此會產(chǎn)生一種誤解，只有大企業(yè)才有條件安全地使用云計算。事實上，云計算具有足夠的應用彈性，已成為各種規(guī)模企業(yè)都可以輕松應用的重要技術。

對于中小型企業(yè)來說，云計算提供了各種各樣的服務，從基本文件存儲到大數(shù)據(jù)分析、數(shù)據(jù)安全、測試和開發(fā)等。云還為中小型企業(yè)提供數(shù)據(jù)安全、威脅檢測和災難恢復等安全性選項，其中很多能力在傳統(tǒng)模式下只有大公司才能投入建設并使用。因此，可以認為云計算技術給很多中小型企業(yè)創(chuàng)造了一個和大型企業(yè)公平競爭的環(huán)境。

云計算會面臨合規(guī)方面的挑戰(zhàn)

近年來，云計算技術在政府、金融、交通和能源等行業(yè)中迅速落地應用，但也帶來了一個新的誤解，就是云計算技術難以符合目前的行業(yè)性法規(guī)和標準要求，會給企業(yè)帶來應用合規(guī)方面的挑戰(zhàn)。由于擔心不合規(guī)的風險，很多企業(yè)也擱置了向云上遷徙的計劃。

事實上，云計算具有更強大的安全措施和數(shù)據(jù)保護能力，可以幫助企業(yè)組織增強對法規(guī)和標準的遵從性。CSP在面向行業(yè)用戶提供云計算服務前，都會投入大量資源開展應用的合規(guī)性建設，以確保其系統(tǒng)符合各種法規(guī)和標準（如HIPAA和GDPR）。

云技術通過提供數(shù)據(jù)管理和訪問的實時可見性，使企業(yè)能夠輕松跟蹤和監(jiān)控法規(guī)要求的合規(guī)性。該特性允許企業(yè)識別和解決遇到的違規(guī)問題，從而降低違法風險。