OrcaSecurit：公有云安全現狀與解決之道

安全419關注到，美國網絡安全公司OrcaSecurity發佈了《2022年公有云安全研究報告》（以下簡稱“《報告》”），《報告》對公有云現狀以及如何解決雲漏洞發表了獨到見解。

公有云安全現狀：

01、攻擊路徑非常短：攻擊者平均攻擊路徑只需3個步驟，這意味着攻擊者只需在雲環境中找到三個可連接可利用的漏洞就可以泄露數據對企業進行勒索。

02、漏洞是主要的初始攻擊媒介：78% 可以識別攻擊路徑使用已知漏洞作爲初始訪問攻擊媒介，這表示企業需要更加重視漏洞修補。

03、存儲資產通常處於不安全狀態：攻擊者可以公開訪問大多數雲環境的 S3 存儲桶和 Azure Blob 存儲資產，這是一種高度可利用的錯誤配置，也是衆多數據泄露的原因。

04、沒有遵循基本的安全實踐：許多基本的安全措施，如多重身份驗證（MFA），加密，強密碼和端口安全性，仍然沒有相應地應用。

05、雲原生服務被忽視：儘管雲原生服務很容易啓動，但其仍然需要維護和適當的配置： 70%的企業擁有可公開訪問的Kubernetes API服務器。

《報告》顯示，企業仍有許多工作要做，從未打補丁的漏洞到過於寬鬆的身份驗證，再到存儲資產容易暴露。然而，企業無法修復其環境中的所有風險，所以，企業應該戰略性地工作，以確保總是首先修補危及企業關鍵資產的風險。

阿里雲也發佈了《雲上數字政府之數據安全建設指南》（簡稱“《指南》”），《指南》給出了數據安全從規劃到建設到評估再到運營的方法論，爲政企數據安全建設提供了參考借鑑。

《指南》包括數據安全風險大圖、“規劃-建設-評估-運營”螺旋上升式建設框架、數據安全能力建設雷達圖、五大典型業務場景建設方案、三大案例直觀呈現最佳實踐等以解決政企單位雲上安全。

雲安全廠商知道創宇創始人兼CEO趙偉提出：讓安全能力長在雲上，其構造出一套“雲安全治理平臺”，建立小型多層次、獨立、專有的安全雲。知道創宇表示，雲安全治理需要“以小云護主雲，云云協同”。從應用安全防護層、內容安全治理層、業務安全防護層、全球威脅情報協同治理層四個層級保護主雲安全，以實現統一安全管理、安全防護、風險監測、安全合規和態勢感知。

Orca Security首席執行官Avi Shua也表示:"公共雲的安全性不僅取決於提供安全雲基礎設施的雲平臺，還取決於企業在雲中的工作負載、配置和身份狀態，企業需要選擇符合自身的雲安全問題解決方案。”