美國(guó)網(wǎng)絡(luò)安全公司OrcaSecurity發(fā)布了《2022年公有云安全研究報(bào)告》（以下簡(jiǎn)稱“《報(bào)告》”），《報(bào)告》對(duì)公有云現(xiàn)狀以及如何解決云漏洞發(fā)表了獨(dú)到見解。

　　公有云安全現(xiàn)狀：

　　01、攻擊路徑非常短：攻擊者平均攻擊路徑只需3個(gè)步驟，這意味著攻擊者只需在云環(huán)境中找到三個(gè)可連接可利用的漏洞就可以泄露數(shù)據(jù)對(duì)企業(yè)進(jìn)行勒索。

　　02、漏洞是主要的初始攻擊媒介：78% 的已識(shí)別攻擊路徑使用已知漏洞作為初始訪問(wèn)攻擊媒介，這表示企業(yè)需要更加重視漏洞修補(bǔ)。

　　03、存儲(chǔ)資產(chǎn)通常處于不安全狀態(tài)：攻擊者可以公開訪問(wèn)大多數(shù)云環(huán)境的 S3 存儲(chǔ)桶和 Azure Blob 存儲(chǔ)資產(chǎn)，這是一種高度可利用的錯(cuò)誤配置，也是眾多數(shù)據(jù)泄露的原因。

　　04、沒(méi)有遵循基本的安全實(shí)踐：許多基本的安全措施，如多重身份驗(yàn)證（MFA），加密，強(qiáng)密碼和端口安全性，仍然沒(méi)有相應(yīng)地應(yīng)用。

　　05、云原生服務(wù)被忽視：盡管云原生服務(wù)很容易啟動(dòng)，但其仍然需要維護(hù)和適當(dāng)?shù)呐渲茫?0%的企業(yè)擁有可公開訪問(wèn)的Kubernetes API服務(wù)器。

　　《報(bào)告》顯示，企業(yè)仍有許多工作要做，從未打補(bǔ)丁的漏洞到過(guò)于寬松的身份驗(yàn)證，再到存儲(chǔ)資產(chǎn)容易暴露。然而，企業(yè)無(wú)法修復(fù)其環(huán)境中的所有風(fēng)險(xiǎn)，所以，企業(yè)應(yīng)該戰(zhàn)略性地工作，以確保總是首先修補(bǔ)危及企業(yè)關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)。

　　近日，阿里云也發(fā)布了《云上數(shù)字政府之?dāng)?shù)據(jù)安全建設(shè)指南》（簡(jiǎn)稱“《指南》”），《指南》給出了數(shù)據(jù)安全從規(guī)劃到建設(shè)到評(píng)估再到運(yùn)營(yíng)的方法論，為政企數(shù)據(jù)安全建設(shè)提供了參考借鑒。《指南》包括數(shù)據(jù)安全風(fēng)險(xiǎn)大圖、“規(guī)劃-建設(shè)-評(píng)估-運(yùn)營(yíng)”螺旋上升式建設(shè)框架、數(shù)據(jù)安全能力建設(shè)雷達(dá)圖、五大典型業(yè)務(wù)場(chǎng)景建設(shè)方案、三大案例直觀呈現(xiàn)最佳實(shí)踐等以解決政企單位云上安全。

　　云安全廠商知道創(chuàng)宇創(chuàng)始人兼CEO趙偉提出：讓安全能力長(zhǎng)在云上，其構(gòu)造出一套“云安全治理平臺(tái)”，建立小型多層次、獨(dú)立、專有的安全云。知道創(chuàng)宇表示，云安全治理需要“以小云護(hù)主云，云云協(xié)同”。從應(yīng)用安全防護(hù)層、內(nèi)容安全治理層、業(yè)務(wù)安全防護(hù)層、全球威脅情報(bào)協(xié)同治理層四個(gè)層級(jí)保護(hù)主云安全，以實(shí)現(xiàn)統(tǒng)一安全管理、安全防護(hù)、風(fēng)險(xiǎn)監(jiān)測(cè)、安全合規(guī)和態(tài)勢(shì)感知。

　　Orca Security首席執(zhí)行官Avi Shua也表示：“公共云的安全性不僅取決于提供安全云基礎(chǔ)設(shè)施的云平臺(tái)，還取決于企業(yè)在云中的工作負(fù)載、配置和身份狀態(tài)，企業(yè)需要選擇符合自身的云安全問(wèn)題解決方案。”

　　更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<