OrcaSecurit：公有云安全现状与解决之道

安全419关注到，美国网络安全公司OrcaSecurity发布了《2022年公有云安全研究报告》（以下简称“《报告》”），《报告》对公有云现状以及如何解决云漏洞发表了独到见解。

01、攻击路径非常短：攻击者平均攻击路径只需3个步骤，这意味着攻击者只需在云环境中找到三个可连接可利用的漏洞就可以泄露数据对企业进行勒索。

02、漏洞是主要的初始攻击媒介：78% 的已识别攻击路径使用已知漏洞作为初始访问攻击媒介，这表示企业需要更加重视漏洞修补。

03、存储资产通常处于不安全状态：攻击者可以公开访问大多数云环境的 S3 存储桶和 Azure Blob 存储资产，这是一种高度可利用的错误配置，也是众多数据泄露的原因。

04、没有遵循基本的安全实践：许多基本的安全措施，如多重身份验证（MFA），加密，强密码和端口安全性，仍然没有相应地应用。

05、云原生服务被忽视：尽管云原生服务很容易启动，但其仍然需要维护和适当的配置：70%的企业拥有可公开访问的Kubernetes API服务器。

《报告》显示，企业仍有许多工作要做，从未打补丁的漏洞到过于宽松的身份验证，再到存储资产容易暴露。然而，企业无法修复其环境中的所有风险，所以，企业应该战略性地工作，以确保总是首先修补危及企业关键资产的风险。

近日，阿里云也发布了《云上数字政府之数据安全建设指南》（简称“《指南》”），《指南》给出了数据安全从规划到建设到评估再到运营的方法论，为政企数据安全建设提供了参考借鉴。《指南》包括数据安全风险大图、“规划-建设-评估-运营”螺旋上升式建设框架、数据安全能力建设雷达图、五大典型业务场景建设方案、三大案例直观呈现最佳实践等以解决政企单位云上安全。

云安全厂商知道创宇创始人兼CEO赵伟提出：让安全能力长在云上，其构造出一套“云安全治理平台”，建立小型多层次、独立、专有的安全云。知道创宇表示，云安全治理需要“以小云护主云，云云协同”。从应用安全防护层、内容安全治理层、业务安全防护层、全球威胁情报协同治理层四个层级保护主云安全，以实现统一安全管理、安全防护、风险监测、安全合规和态势感知。 

Orca Security首席执行官Avi Shua也表示:"公共云的安全性不仅取决于提供安全云基础设施的云平台，还取决于企业在云中的工作负载、配置和身份状态，企业需要选择符合自身的云安全问题解决方案。”