美國網(wǎng)絡(luò)安全公司OrcaSecurity發(fā)布了《2022年公有云安全研究報告》（以下簡稱“《報告》”），《報告》對公有云現(xiàn)狀以及如何解決云漏洞發(fā)表了獨到見解。

　　公有云安全現(xiàn)狀：

　　01、攻擊路徑非常短：攻擊者平均攻擊路徑只需3個步驟，這意味著攻擊者只需在云環(huán)境中找到三個可連接可利用的漏洞就可以泄露數(shù)據(jù)對企業(yè)進行勒索。

　　02、漏洞是主要的初始攻擊媒介：78% 的已識別攻擊路徑使用已知漏洞作為初始訪問攻擊媒介，這表示企業(yè)需要更加重視漏洞修補。

　　03、存儲資產(chǎn)通常處于不安全狀態(tài)：攻擊者可以公開訪問大多數(shù)云環(huán)境的 S3 存儲桶和 Azure Blob 存儲資產(chǎn)，這是一種高度可利用的錯誤配置，也是眾多數(shù)據(jù)泄露的原因。

　　04、沒有遵循基本的安全實踐：許多基本的安全措施，如多重身份驗證（MFA），加密，強密碼和端口安全性，仍然沒有相應(yīng)地應(yīng)用。

　　05、云原生服務(wù)被忽視：盡管云原生服務(wù)很容易啟動，但其仍然需要維護和適當?shù)呐渲茫?0%的企業(yè)擁有可公開訪問的Kubernetes API服務(wù)器。

　　《報告》顯示，企業(yè)仍有許多工作要做，從未打補丁的漏洞到過于寬松的身份驗證，再到存儲資產(chǎn)容易暴露。然而，企業(yè)無法修復其環(huán)境中的所有風險，所以，企業(yè)應(yīng)該戰(zhàn)略性地工作，以確?？偸鞘紫刃扪a危及企業(yè)關(guān)鍵資產(chǎn)的風險。

　　近日，阿里云也發(fā)布了《云上數(shù)字政府之數(shù)據(jù)安全建設(shè)指南》（簡稱“《指南》”），《指南》給出了數(shù)據(jù)安全從規(guī)劃到建設(shè)到評估再到運營的方法論，為政企數(shù)據(jù)安全建設(shè)提供了參考借鑒。《指南》包括數(shù)據(jù)安全風險大圖、“規(guī)劃-建設(shè)-評估-運營”螺旋上升式建設(shè)框架、數(shù)據(jù)安全能力建設(shè)雷達圖、五大典型業(yè)務(wù)場景建設(shè)方案、三大案例直觀呈現(xiàn)最佳實踐等以解決政企單位云上安全。

　　云安全廠商知道創(chuàng)宇創(chuàng)始人兼CEO趙偉提出：讓安全能力長在云上，其構(gòu)造出一套“云安全治理平臺”，建立小型多層次、獨立、專有的安全云。知道創(chuàng)宇表示，云安全治理需要“以小云護主云，云云協(xié)同”。從應(yīng)用安全防護層、內(nèi)容安全治理層、業(yè)務(wù)安全防護層、全球威脅情報協(xié)同治理層四個層級保護主云安全，以實現(xiàn)統(tǒng)一安全管理、安全防護、風險監(jiān)測、安全合規(guī)和態(tài)勢感知。

　　Orca Security首席執(zhí)行官Avi Shua也表示：“公共云的安全性不僅取決于提供安全云基礎(chǔ)設(shè)施的云平臺，還取決于企業(yè)在云中的工作負載、配置和身份狀態(tài)，企業(yè)需要選擇符合自身的云安全問題解決方案?！?/p>

　　更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<