云服务使客户能够托管服务器、数据并运行业务和生产力应用程序。 使用云可加快上市时间，减轻过度工作的 IT 专业人员的维护负担，并提供对仅适用于内部部署 IT 时代的大型组织的软件堆栈的访问 。 由于云服务是由人（通常是一群人）开发的，因此它们就像人们开发的其他应用程序一样存在漏洞。  

鉴于云服务对世界各地许多组织的重要性，安全研究人员探索 云服务中的弱点和漏洞，将新发现通知相关供应商，这些新发现有望在客户数据遭到破坏和网络犯罪分子能够识别之前解决。相同的漏洞和窃取数据。因此，在选择和部署云服务时，安全性非常重要；绝不应将其视为事后的想法。 

为什么要投资云安全？

为什么要投资云安全？非常简单：因为您的数据就在那里——战略文件、财务报告、业务预测、新产品开发理念和计划、客户名单、敏感客户数据、员工记录、健康记录等等。 

还有其他原因，但所有这些都源于您的数据存在的基本原则：

威胁参与者将迁移到云的组织视为在他们也可以访问的超大规模平台上聚合数据。任何人都可以在多租户云平台上注册一个帐户，以从攻击的角度了解哪些有效，哪些无效。这些数据和平台不再隐藏在定制的企业数据中心内。云供应商正在积极增强本地安全功能，以根除误用和滥用。 

事实证明，网络钓鱼攻击擅长窃取可用于破坏数据的帐户凭据。一旦威胁行为者获得了您的云电子邮件凭据，下一步就是登录并查看周围的情况——查看您的电子邮件，查看您拥有和有权访问的共享文件，您所在的线程对话组（更机密的更好），等等。   

云安全不足的代价是什么？

根据Ponemon Institute 和 IBM的最新研究，数据泄露的当前价格略高于420 万美元。这比去年高出 10%，是有史以来最高的平均成本。  

Capital One在 2019 年的数据泄露事件中存储在云存储帐户中的超过 1 亿条敏感记录的成本更高，美国监管机构处以 8000 万美元的罚款。监管机构发现，第一资本在迁移到云之前没有建立有效的风险评估流程，也没有及时解决弱点。这是一条强硬路线——尽管是现实——因为该漏洞是由一名安全工程师执行的，该工程师之前曾在云提供商工作，并利用他们的技能开发了一种工具来自动扫描云实例以查找要利用的错误配置。 

其他成本更难量化，属于无形成本或机会成本的范畴。失去客户信任就是一个例子，当客户转向具有更好数据保护制度的其他供应商时，它就会从无形成本变成有形成本。投资界、供应链乃至监管机构眼中更广泛的声誉损害也是代价高昂的，例如当投资者扣留投资资金时，供应链合作伙伴实施更严格的控制以保护自己，监管机构决定在整个行业引入新的结构性要求。行业。 

CISO 在云基础架构方面面临哪些挑战？

首席信息安全官在云基础设施方面面临着一系列挑战，他们可以清楚地了解正在发生的事情。主要挑战包括： 

• 缺乏对每个云实例上正在发生的事情的可见性，例如谁在访问什么数据，他们正在使用他们正在访问的数据做什么，人们从哪里访问数据（例如，任何人访问来自贵公司所在国家/地区的数据） t work——这可能表明凭据被盗或被破坏），以及正在下载异常数据量的当前用户——这可能表明有人准备辞职为竞争对手工作而窃取数据。 
  

  
  

• 了解不同云服务中存储的数据类型，以便对机密和敏感数据的位置进行分类。如果您不知道那里有什么，就很难对访问控制、数据安全和基于风险的身份验证方法实施正确的保护级别。 

  
  

• 对云基础设施中的数据泄露承担最终责任，即使在责任线在组织和云提供商之间明确划分的责任共担模型中也是如此。另一种说法是“这永远不是你的错”。从您的云提供商那里窃取数据的客户仍会将违规归咎于您的组织，而监管机构仍会要求您的组织对未能保护客户委托给您的数据负责。这永远不是你的错。 

您的组织可以做什么？

您的组织可以做很多与云安全相关的事情，并且希望它至少在做一些事情。如果您还没有开始，或者您想检查自己是否走在正确的道路上，请先请求评估您的组织正在使用哪些云服务 - 包括批准的和未经批准的。现代云访问安全代理 (CASB) 将能够提供此信息，如果您没有这些信息，请将其添加到您的购物清单中。基于这种可见性，设法了解哪些数据在哪里，谁在使用它，以及最大的风险在哪里。现代 CASB 可以帮助识别云服务中哪些敏感数据未受到保护，检查错误配置，并使用加权安全分析对每个云服务进行风险评估。 

有了计划和 CASB，强大的加密就可以发挥作用。众所周知的是，加密是GDPR 中仅有的两种技术之一——假名化是另一种。 通过强加密保护实际数据——无论它存储在哪里——是防止可用数据泄露的唯一保证方法。如果云服务中每个新发现的漏洞都伴随着“假设妥协”的断言，那么您必须做一些超出云服务本机提供的其他事情来保护您的数据。正确设置访问控制可以将不良行为者拒之门外，直到访问凭据遭到破坏。安全意识服务可以降低破坏的可能性，直到应用程序漏洞提供后门访问。怎么样…您现在应该开始考虑联系揽阁信息，在管理所有云服务的加密密钥的地方对您的数据进行强加密了！

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代

• 简化密钥和证书的审核和修复

• 保护云前沿：应对多云时代 SaaS 数据保护的复杂性

• Thales和HPE GreenLake扩大合作伙伴关系，提供增强的数据保护

• 什么是硬件安全模块（HSM）以及为什么它很重要？