越来越多的组织将云技术和应用程序应用到其IT环境中。国际数据集团（IDG）在其2018年的云计算调查中发现，73％的IT决策者（ITDM）已经在他们的组织中见证了这一实施，而17％的人表示他们希望在下一次会议中见证这种集成。年。鉴于组织迁移到云的需求不断增加，这些统计数据是有意义的。实际上，38％的调查参与者告诉IDG，他们的IT部门面临来自执行管理层和/或个人业务部门的越来越大的压力，要求将所有应用程序和基础架构迁移到云端。

云应用程序采用的风险

不幸的是，如果没有公平的风险，这种强烈的采用并非如此。在2018年，赛门铁克发现普通企业使用了1,516个云应用。这个数字几乎是大多数CIO认为他们的组织使用的数字的40倍。这种差异表明，员工有时无需IT部门的适当授权即可下载基于云的应用程序。

趋势科技表示，由于IT部门通过Office 365等服务正式推动的云应用程序数量不断增加，因此缺乏批准，这是组织攻击面的主要增长因素。正如安全公司在博客中解释的那样：

底线......缺乏IT管理员对组织内使用的应用程序的可见性。即使采用了最佳实践，IT工作人员也无法修补他们在网络中不存在的应用程序中的漏洞。通过这种方式，与企业应用程序相关的风险的攻击面相当大 - 几乎所有行业的每个企业都存在威胁。

其中最大的漏洞之一是云服务在公共网络上。（这与过去的企业应用程序形成鲜明对比，这些应用程序在整个安全解决方案的范围内受到保护。）他们的登录页面完全暴露，这意味着任何不良演员都可以访问SFDC登录页面并执行轻松攻击接入点。或者，他们可以使用网络钓鱼攻击来窃取员工帐户凭据并滥用它们来窃取敏感的公司和/或客户数据。

问题是：组织是否意识到云应用程序带来的这些和其他风险？

衡量组织的风险意识

Thales为其2019年访问管理指数（AMI）采访了1,050个ITDM 。这项努力表明，ITDM很大程度上了解上面讨论的危险。49％的受访者表示云应用程序面临数字攻击的风险最大。这是未受保护的基础设施（54％）和门户网站（50％）之后的第三高目标。当被要求说明此漏洞的原因时，63％的ITDM表示他们不断增加的数量使云应用成为数字攻击的主要目标。由于缺乏强大的安全解决方案（55％）以及云中不一致的保护（54％），这种弱点的数量略有下降。

令人震惊的是，有多少组织未能调整其安全策略以保证公司的安全。例如，62％的受访者表示，尽管数字安全意识有所提高，但他们的雇主仍然在没有CISO的情况下继续运营。与此同时，不到一半的调查参与者表示他们的组织使用生物识别身份验证或软件令牌。

但这并不是因为缺乏意识。实际上，58％的ITDM认为双因素身份验证是最有可能保护基于云和基于Web的应用程序的访问管理工具。幸运的是，几乎所有受访者都表示云应用程序的云访问管理有利于云采用（97％），而96％的受访者表示无效的云访问管理可能或确实会给组织带来问题。

认识到这些观点，每家公司都应该采取三个具体步骤来更好地保护当今世界的云。具体如下：

• 使用适当的访问管理和身份验证策略保护接入点的云应用和服务; 

• 加密静态和传输中的所有敏感数据；

• 安全地存储和管理所有加密密钥；

通过实施这三项措施中的每一项，公司可以有效地保护其基于云的数据免受数字威胁。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 关于“欧盟-美国数据隐私框架”的问与答

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 如何遵守不断变化的数据保护法规

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代

• 经验教训：2023年全球网络安全的五个要点