隨著(zhù)云端能力的廣泛?jiǎn)⒂?，以及隨后組織網(wǎng)絡(luò )的快速生長(cháng)，再趕上最近遠程辦公的興起，使得組織的攻擊面大規模擴散，直接導致了連接結構中日益增長(cháng)的安全盲點(diǎn)。攻擊面管理會(huì )挖掘互聯(lián)網(wǎng)上的數據組以及證書(shū)庫，或者模擬攻擊者使用嗅探技術(shù)的方式。兩種方式的目的都是對組織在發(fā)現流程中能夠找到的資產(chǎn)進(jìn)行一次全面的分析。兩種方式都包括掃描域名、子域名、IP地址、端口、影子IT等面向互聯(lián)網(wǎng)的資產(chǎn)，之后再進(jìn)行分析，檢測是否存在漏洞或者安全缺口。高級的攻擊面管理包括可進(jìn)行的緩解建議，修復發(fā)現的安全缺口；建議從未使用的或不必要的資產(chǎn)以減少攻擊面，到通知個(gè)人他們的郵箱存在隱患，可能成為釣魚(yú)攻擊的目標。攻擊面管理解決方案如果和像EDR那樣的響應型產(chǎn)品關(guān)聯(lián)，就更偏向于基于掃描能力；而如果包含在像擴展安全態(tài)勢管理這類(lèi)的主動(dòng)平臺，就更偏向于從掃描能力擴展到攻擊者的偵查技術(shù)和工具層面。

1)責任和數據風(fēng)險：云服務(wù)可以完全控制或有限地控制使用者的數據。2)用戶(hù)身份聯(lián)合：數字身份是網(wǎng)絡(luò )安全的關(guān)鍵部分。

3)法規遵從性：即使我們通過(guò)互聯(lián)網(wǎng)獲得服務(wù)，我們的數據也被服務(wù)提供商物理地存儲在一個(gè)地方。

4)業(yè)務(wù)連續性和彈性：企業(yè)需要確保他們的業(yè)務(wù)在各種條件下運行。5)用戶(hù)隱私和數據的二次使用：一旦數據被轉移到云上，我們就再也無(wú)法控制它了。

6)服務(wù)和數據集成：在將敏感數據傳輸到云端的過(guò)程中，存在數據暴露的風(fēng)險。

7)多租戶(hù)和物理安全：企業(yè)想要降低成本，多租戶(hù)是云提供商提供的一種選擇。

8)發(fā)生率分析和取證：當發(fā)生事故時(shí)，識別漏洞并管理它們是至關(guān)重要的。

9)基礎設施安全：基礎設施安全性至關(guān)重要，必須足夠好才能保護系統。提供商需要確保他們有一個(gè)強大的基礎設施，并經(jīng)常審核他們的系統。

10)非生產(chǎn)環(huán)境暴露：應用程序并不只有一個(gè)環(huán)境。提供商在生產(chǎn)環(huán)境中發(fā)布代碼之前，可能會(huì )在兩個(gè)甚至更多的環(huán)境中測試。

近年來(lái)，網(wǎng)絡(luò )威脅正在成倍增加和升級。面對日益嚴峻的網(wǎng)絡(luò )安全態(tài)勢，人工智能中特別是尖端的機器學(xué)習方法已經(jīng)開(kāi)始應用到網(wǎng)絡(luò )防御領(lǐng)域，包括根據數據模式來(lái)開(kāi)發(fā)用于防御網(wǎng)絡(luò )攻擊的預測模型等。這種人工智能方法可能非常有效，但卻使機器學(xué)習型系統容易受到錯誤和惡意干擾的影響，因此開(kāi)發(fā)能夠防止欺騙性攻擊的穩固性機器學(xué)習型系統已迫在眉睫，但各種穩固性措施通常會(huì )削弱機器學(xué)習型系統的準確性。機器學(xué)習不僅具有自動(dòng)檢測的潛力，還具有主動(dòng)防御攻擊的潛力。從理論上講，機器學(xué)習可以通過(guò)動(dòng)態(tài)調整來(lái)干擾或減輕攻擊。這種在準確性與穩固性之間權衡的過(guò)程中帶來(lái)了一個(gè)問(wèn)題，例如，一套基于機器學(xué)習的防病毒系統通過(guò)不斷動(dòng)態(tài)調整，以抵御不斷發(fā)展的惡意軟件攻擊，與此同時(shí)，開(kāi)發(fā)人員可以細致地監管該系統，并加強其防范欺騙性攻擊的能力，但這樣又會(huì )妨礙該系統準確檢測出新的惡意軟件。

1. 基礎設施可信

可信計算指在計算的同時(shí)進(jìn)行安全防護，使計算結果總是與預期值一樣，使計算全程可測可控，不受干擾。

2. 微隔離

微隔離技術(shù)能夠對東西向流量進(jìn)行全面精細的可視化分析，并進(jìn)行細粒度的安全訪(fǎng)問(wèn)策略管理。目前微隔離一般包括網(wǎng)絡(luò )端口現狀梳理、端口分析、端口監控和處置功能。

3. 應用安全

云服務(wù)與外部服務(wù)進(jìn)行交互時(shí)，應通過(guò)使用端口白名單、脆弱性檢測與安全加固、HTTP請求內容檢測及DNS安全等關(guān)鍵技術(shù)，確保云服務(wù)應用安全。

4. 數據安全

基于云平臺數據安全保護要求，應使用一定數據安全技術(shù)手段保障數據的機密性、完整性、可用性，典型手段包括數據脫敏、敏感數據自動(dòng)識別、數據加密、日志審計等。

5. 基于零信任的接入控制

基于零信任的理念，對接入的用戶(hù)和設備進(jìn)行聯(lián)合身份認證、信任持續評級和動(dòng)態(tài)自適應訪(fǎng)問(wèn)控制，并將審計結果作為信任評級的風(fēng)險項，最終形成接入控制的閉環(huán)管理。

云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò )訪(fǎng)問(wèn)，進(jìn)入可配置的計算資源共享池(資源包括網(wǎng)絡(luò )，服務(wù)器，存儲，應用軟件，服務(wù))，這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應商進(jìn)行很少的交互。

主要有三種系統類(lèi)別：IaaS, PaaS, IaaS：

SaaS：傳統軟件用戶(hù)將其安裝到硬盤(pán)然后使用。在云中，用戶(hù)不需要購買(mǎi)軟件，而是基于服務(wù)付費。它支持多租戶(hù)，這意味著(zhù)后端基礎架構由多個(gè)用戶(hù)共享，但邏輯上它沒(méi)每個(gè) 用戶(hù)是唯一的。

PaaS：PaaS將開(kāi)發(fā)環(huán)境作為服務(wù)提供。開(kāi)發(fā)人員將使用供應商的代碼塊來(lái)創(chuàng )建他們自己的應用程序。該平臺將托管在云中，并將使用瀏覽器進(jìn)行訪(fǎng)問(wèn)。

IaaS：在IaaS中，供應商將基礎架構作為一項服務(wù)提供給客戶(hù)，這種服務(wù)以技術(shù)，數據中心和IT服務(wù)的形式提供，相當于商業(yè)世界中的傳統“外包”，但費用和努力要少得多。主要目的是根據所需的應用程序為客戶(hù)定制解決方案。

云安全是基于云計算商業(yè)模式的安全軟件、硬件、用戶(hù)、機構安全云平臺的總稱(chēng)。云服務(wù)因其總體架構、網(wǎng)絡(luò )部署、運維服務(wù)具有相似性，面臨著(zhù)共性安全風(fēng)險，以下從基礎設施、網(wǎng)絡(luò )部署、云上應用、運維服務(wù)四個(gè)方面進(jìn)行安全風(fēng)險分析。其中，基礎設施是指為云上應用提供運行環(huán)境的軟硬件及管理編排系統。

(1) 基礎設施安全風(fēng)險

主要包括：物理環(huán)境及設備安全風(fēng)險、虛擬化安全風(fēng)險、開(kāi)源組件風(fēng)險、配置與變更操作錯誤、帶寬惡意占用、資源編排攻擊。

(2)網(wǎng)絡(luò )部署安全風(fēng)險

主要包括：數據泄露、身份和密鑰管理、接入認證、跨數據中心的橫向攻擊、APT等新型攻擊。

(3)云上應用安全風(fēng)險

主要包括：API接口安全、無(wú)服務(wù)器攻擊、DOS攻擊、跨租戶(hù)/跨省橫向攻擊、跨工作負載攻擊、云服務(wù)被濫用及違規使用、用戶(hù)賬號管理安全、核心網(wǎng)攻擊。

(4)運維服務(wù)安全風(fēng)險

主要包括：管理接口攻擊、管理員權限濫用、漏洞和補丁管理安全、安全策略管理。

(1) 確保數據的機密性、完整性和可用性

制定可靠的政策為識別和降低數據機密性、完整性和可用性風(fēng)險(稱(chēng)為CIA 三元組)提供了一種標準化方法，并提供了對問(wèn)題作出響應的適當步驟。

(2) 幫助將風(fēng)險降至最低

信息安全策略詳細說(shuō)明了組織如何發(fā)現、評估和緩解 IT 漏洞以阻止安全威脅，以及在系統中斷或數據泄露后用于恢復的流程。

(3) 在整個(gè)組織內協(xié)調和執行安全計劃

任何安全計劃都需要創(chuàng )建一個(gè)有凝聚力的信息安全策略。這有助于防止出現分歧的部門(mén)決策。該策略定義了組織如何識別不執行有用安全功能的無(wú)關(guān)工具或流程。

(4) 將安全措施傳達給第三方和外部審計師

編纂安全策略使組織能夠輕松地將其圍繞 IT 資產(chǎn)和資源的安全措施傳達給員工和內部利益相關(guān)者，還可以傳達給外部審計師、承包商和其他第三方。

(5) 幫助組織合規

擁有完善的安全策略，在國外審核安全標準和法規的合規性，在我國則落實(shí)網(wǎng)絡(luò )安全等級保護和關(guān)鍵信息基礎設施安全保護等。