荐读丨2024年企业云安全能力建设的10个要点

云计算技术为现代企业组织带来了可扩展性、灵活性、减少物理基础设施、降低运营成本以及全天候的数据访问等诸多好处。但研究数据也显示，目前只有4%的企业组织能够为云端资产提供充分的安全保护。在2023年，有超过80%的数据泄露事件涉及存储在云端的数据。为了提升云安全的防护水平，企业在2024年需要着重加强对云上应用和数据的安全措施。本文收集整理了云安全建设中的10个关键要点，可以更好地保护组织的云端资产，确保数据的安全性和可用性。

云原生安全解决方案是专门设计用于云基础设施和服务的安全工具和策略。与传统的安全工具不同，它们能够在虚拟化和动态云环境中无缝工作，并充分发挥云计算特点和API提供更有效的保护。

云原生解决方案强调自动化安全操作、容器和微服务保护、云服务配置和合规性、移动性和多云支持等关键特性，它们能够自动识别和响应安全事件，保护容器化应用和微服务架构，确保云资源的正确配置和安全使用，并支持组织在不同云环境之间的移动性。

即使企业已经建立了强大的云安全防御措施，网络攻击仍有可能发生。而威胁情报分析可以帮助企业提前预防和识别潜在的网络威胁。通过利用聚合和分析数百万个威胁指标（IoCs）的威胁情报工具，企业可以更及时地发现威胁并部署保护/阻止功能。这些工具通常会通过自动化威胁情报共享机制，与其他安全工具和合作伙伴实时共享数据，加快整个生态系统对威胁的响应速度。它们还具备智能分析和挖掘能力，揭示隐藏的攻击模式和关联关系，以提前预警和防范复杂攻击。

通过SOAR技术，可以帮助企业阻止减少大量工具的操作复杂性。SOAR可在一个统一平台上协调、自动化和执行各种任务，并且跨不同的部门和业务系统。SOAR技术可以很好地消除零散系统的补丁，使组织能够避开干扰，专注于应对最紧迫的威胁。

SOAR技术还可以实现简化的策略管理和自动化警报管理，使安全运营中心的分析师能够从事更高级别的任务。在持续推动改进方面，SOAR同样可以成为企业安全运营团队的秘密武器。

AI和ML算法在处理和分析大量数据时具有出色的能力表现。在云安全建设方面，AI和ML技术可以通过识别与潜在安全风险相关的模式和异常，增强了云安全威胁检测的能力。由于这些工具可以识别出与典型行为的微妙偏差，它们可以及早发现新出现的威胁，使组织获得更好的云应用安全体验。

零信任框架是一种创新的安全策略，通过记录每个请求、评估流量和限制访问来降低未经授权用户或违规行为的风险。对于云上的应用，零信任策略会采用细粒度访问控制和多因素身份验证，确保只有经过授权的用户可以访问资源。此外，零信任框架还强调动态策略评估和风险自适应，以根据实时的风险评估结果调整访问权限。

SASE是一种创新的安全访问服务架构，旨在提供安全的网络访问、应用程序及数据保护。SASE结合了SD-WAN、云安全、网络安全等多种安全技术，能够在企业边缘提供安全、可靠、高效的网络访问服务。Gartner认为，SASE将是企业网络和业务上云和服务化后自然产生的安全架构需求，可以为企业带来了安全、高效、灵活的网络访问服务，使得企业能够快速满足业务需求，提高工作效率。Gartner预测， 到2025年至少有60％的企业组织会将SASE模型用于实现用户、分支机构的远程访问，而在2020年，这一比例还不足10％。

CASB可以帮助企业在云环境中实施零信任访问控制和策略执行。流向云的流量会首先经过CASB系统，使其能够执行企业安全策略。CASB通过深入了解用户和应用程序如何访问和利用组织的基于云的应用程序，提高了对云的可见性。它还可以提供有关影子IT的洞察，其中未经批准的SaaS应用程序的使用可能导致数据泄露或其他安全威胁。

同时，CASB可以帮助进行数据丢失防护（DLP），控制对组织的基于云的资产的访问和保护。此外，它还提供高级威胁防护（包括通过基于云的基础设施识别和阻止恶意软件分发的能力），以及合规性优势。

云工作负载保护平台（CWPP）解决方案可以发现组织在基于云的部署和本地基础设施中存在的工作负载。一旦发现工作负载，该解决方案会进行漏洞扫描。根据扫描结果，CWPP解决方案通常提供缓解选项，包括实施白名单、完整性保护和类似的解决方案。除了解决评估中发现的安全问题外，CWPP还可以提供对基于云和本地工作负载的常见安全威胁的保护，包括运行时保护、恶意软件检测和修复以及网络分段。CWPP为组织带来了许多好处，包括增加的灵活性、更好的安全性和减少数据合规性违规的风险。

多因素身份验证（MFA）是一种经过时间验证的方法，它可以确保有更多的因素（而不仅仅是密码）来验证试图访问组织网络的用户。对于云上应用系统，启用MFA后，网络犯罪分子使用窃取凭证的难度将大幅提升。多因素身份验证可以防止攻击者未经授权登录基于云的业务平台，而定期更换用户凭证，可以进一步减少凭证被滥用的机会窗口。这些措施可以有效预防云上的身份盗窃和未授权访问，提高系统安全性。

根据Gartner的定义，XDR是一个统一的安全威胁检测与事件响应平台，无缝集成大量安全能力到一个安全运营系统，并将来自云、网、端等多源异构数据统一整合形成数据湖，从而精准检测高级威胁，以及对入侵事件进行分诊，对入侵过程进行追根溯源，实现安全能力的闭环。从上述定义看，XDR最大的特点在于为组织的整个云环境提供统一的集成数据可见性和分析，使安全分析师能够了解事件背后的上下文，而无需学习和操作各种不同的平台。