去年,云计算在塑造业务转型方面发挥了重要作用。Gartner 最近的预测显示,到 2027 年,全球公共云服务支出将超过 1 万亿美元,反映出其日益增长的重要性。将人工智能(AI) 集成到云服务中是 AWS re:Invent 2023 的重点,它正在推动创新和增长,同时也带来了与安全性和合规性相关的挑战。
这使得领导者既要应对日益复杂和精密的安全威胁,又要寻找方法来获得可视性并重新控制日益复杂的云生态系统。
云安全面临的新挑战
持续的远程和混合工作趋势以及软件即服务(SaaS)和云技术的采用并不令人意外,但勒索软件和电子邮件网络钓鱼攻击的增加刺激了对更强大的安全措施的需求,以保护这些分布式商业资产。
2023 年,我们还目睹了前所未有的分布式拒绝服务 (DDoS) 攻击浪潮,其驱动力是发现和利用 HTTP/2 协议中的关键快速重置漏洞。这些事件创下了 DDoS 攻击规模的新纪录。此外,利用云计算基础设施的 DDoS 僵尸网络增强了缓解这些攻击的效力和复杂性。
黑客行动主义的氛围可能会持续到 2024 年及以后。选举和地缘政治紧张局势进一步加剧了云服务的使用难度,尤其是当关键基础设施成为地区和全球冲突的攻击目标时。
人工智能增强型社交工程和电子邮件网络钓鱼的出现也令人担忧。社交工程攻击的影响在 2023 年导致了严重的入侵和数据丢失,Crowdstrike 的 2023 年全球威胁报告指出,云利用率增长了 95%。
与此同时,量子计算的进步与一系列复杂的新合规、隐私和数据主权法规(这些法规经常相互冲突)相交叉,为满足安全性和合规性要求带来了挑战。面对未来的进步,当前加密算法的有效性可能会使存储在云中的数据的机密性面临风险。
在安全人才持续短缺的情况下,管理如此多样化的基于云的风险以及旨在减轻这些风险的安全措施变得越来越艰巨,从而扩大了知识差距。
增强云安全性的策略
这些威胁和市场压力的激增促使组织采用去中心化网络和安全模型,例如安全访问服务边缘 (SASE),并实施零信任安全框架以增强云中的用户和数据安全性。无论网络架构如何,这都可以确保对试图访问云资源的每个用户和设备进行严格的身份验证。
集成高级网络钓鱼保护、云访问安全代理 (CASB) 和数据丢失防护 (DLP) 也已被证明至关重要。重点必须放在用户保护和教育上,为用户提供知识和工具,以提高检测和响应威胁的技能。安全工具堆栈中可能需要人工智能,以帮助跟上人工智能增强的网络钓鱼和社会工程攻击的威胁。对于开发人员来说,已经转向将安全性集成到软件开发的每个阶段 (DevSecOps)。简化和自动化安全流程可提高透明度和可管理性,而定期审核可确保安全措施对新兴威胁的有效性,并识别云基础设施中任何被忽视的领域,例如不安全的 API。
云安全还必须集成到组织的整个供应链中,以减轻基于云的应用程序整个生命周期中与第三方服务相关的风险。高级云安全解决方案,如云工作负载保护 (CWP)、云安全态势管理 (CSPM) 和云基础设施授权管理 (CIEM),将在云环境中提供全面的保护和权限。
前进的道路
要想在未来的云计算时代蓬勃发展,建立以安全为中心的文化至关重要。这需要倡导一种将安全与运营的各个方面交织在一起的思维方式,从而保护资产、数据和客户信任。随着技术进步不断重新定义云计算格局,动态和强化的安全策略变得至关重要,尤其是为了应对人工智能驱动的威胁并防止云基础设施被利用。
更好地控制云运营将有助于快速采用新技术、实施有效的安全政策并迅速应对新出现的威胁,同时优化资源分配并减少冗余。然而,要应对云系统的复杂性和管理工具带来的矛盾挑战,需要采取积极主动、警惕的方法,并利用更统一、适应性更强的安全解决方案。
战略领导力、坚定的安全第一文化和先进技术解决方案的融合对于掌握云计算领域至关重要。这种全面的方法不仅可以确保针对不断变化的威胁形势的强大防御机制,还可以巩固组织在数字化转型之旅中充满信心地领导的能力。