云安全风险概览 企业上云后的安全风险概览

数据和各类服务向云端迁移不禁让很多企业开始重新思考自己的网络安全体系。企业上云后究竟会面临什么样的安全风险?

对乙方来说，本文是一个可作参考的 checklist——我采购的云安全工具与服务是否能够保护我所有的敏感数据?是否能够抵御以下每一项细分的云安全威胁?是否能够防御云环境中的六大攻击模式?

对于安全厂商来说，也可以反思自己的云安全产品与服务现状：我现有的云安全能力能够保护哪些敏感数据?能够抵御哪些细分的云安全威胁?针对多样的云攻击模式，我已经具备哪些对应的解决方案?

一、云上有哪些敏感数据?

1. 迈克菲《Cloud Adoption and Risk Report 2018》

2018 年 10 月，迈克菲发布了一个名为《Cloud Adoption and Risk Report 2018》的报告。该研究表明，2018 年通过云共享敏感数据的数量比上一年增加 53%——这是一个巨大的涨幅。

迈克菲的报告指出，云上的所有文件中，有 21% 是敏感数据，并且其中有 48% 的敏感文件最终会被共享。仅去年一年就有超过 28% 的机密数据存储在云端。

敏感数据包括企业机密数据 (27%)、电子邮件数据 (20%)、密码保护数据 (17%)、个人身份信息 (PII) (16%)、付款信息 (12%) 以及个人病历 (9%)。随着人们对云计算的信任度和依赖度不断提高，云上的机密数据也面临了越来越高的安全风险。

而被黑客窃取不是这些数据所面临的唯一风险。迈克菲发现，每个企业平均有 14 个配置错误的 IaaS(基础架构即服务)在运行，每月平均有 2200 个错误配置引起的安全事件发生。

2. SANS Institute《 2019 年云安全报告》

而 SANS 今年 5 月发布了《 2019 年云安全报告》，调查样本达数百个，涵盖金融、IT、政府等多个行业，所在企业规模跨度大、地域分布广，从事职业包括安全分析师、IT部门管理人员、CSO、CISO、合规分析师等等。

该调查显示，云上存储量最大的是与商业智能相关的数据 (48.2%)，知识产权类数据几乎持平 (47.7%)，其次是客户个人数据 (47.7%) 和财务数据 (41.7%)，另外存储量较大的还包括企业员工信息 (37.7%)。详见下图：

云上敏感数据(数据