無論如何，云基礎設施已經牢固地確立了自己作為幾乎所有組織的關鍵組成部分的地位，預計公共云支出將在未來五年內繼續飆升。與任何組織范圍內的采用計劃一樣，云基礎架構計劃需要廣泛的計劃才能成功且安全地采用和擴展范圍。缺乏對云基礎設施計劃的規劃可能會造成復雜性和風險，最終為攻擊者滲透到組織的攻擊面打開了大門。

這個領域最常見的復雜性是配置錯誤和誤解默認設置和安全最佳實踐之間的差異的問題。錯誤配置一直是業內一些最大違規行為的根源，包括萬豪在2020年的第二次違規行為。從共同責任到管理不善的默認設置，云配置錯誤的根本原因增加了巨大的網絡安全風險。好消息是，有幾個關鍵的重點領域可以幫助組織取得成功。

識別并驗證所有用戶

在云中，人員、設備和應用程序的安全和驗證通常很困難。安全專業人員必須強制識別和驗證訪問組織云網絡的任何實體，即使“身份”似乎來自可信來源。如果攻擊者無需進一步檢查就可以訪問經過驗證的數字身份或隱含信任的基礎設施區域，他們可以在很長一段時間內提取公司數據而未被注意到和未被檢測到。

這就是為什么身份和訪問管理(IAM)是三大云服務提供商(CSP)中最關鍵和最復雜的架構之一。IAM控制有權訪問特定資源的人員，根據需要了解的情況將權限隔離給那些人，并包括按角色授予訪問權限和技術的組織策略。

在IAM實施的同時采用適當的政策至關重要;如果IAM處理不當，組織可能會遭受憑證不安全和跨角色無處不在的訪問的后果。

注意安全組默認值

云安全組充當傳統IT環境的控制和執行點。他們根據規則控制入口(入站)和出口(出站)流量并做出相應響應，通知安全和IT團隊可疑活動、惡意活動或其他活動。不幸的是，安全和IT專業人員可能會被警報、通知和請求所淹沒，這促進了速度與質量的文化。團隊可以創建兩個或三個安全組，并在整個基礎架構中將它們重復用于不同目的。

雖然這聽起來很有效，但這類似于為您的用戶帳戶提供域管理員權限，并且是一種經常被利用的錯誤配置。它可以為攻擊者留下機會并增加您的攻擊面，因為默認情況下，所有主要CSP都會阻止所有入站流量并允許所有出站流量。跨多個CSP的組織面臨的風險最大，因為跨CSP的通用配置很少，因此組織需要相應地自定義每個平臺，以確保跨所有云基礎架構的應用程序安全。

定義“經過身份驗證的”用戶并相應記錄

在討論云時，“經過身份驗證的用戶”一詞可能會產生誤導。認為該術語嚴格適用于組織內已通過身份驗證的人員是一個有效的假設。不幸的是，這在管理主流CSP時并不準確。

任何擁有“經過身份驗證的用戶”權限的人都可以訪問您的云，無論他們是在您的組織內部還是外部。通過加深對用戶可訪問性的理解和相應的規劃來防止未經授權的訪問至關重要。

盡管看起來很乏味，但管理和跟蹤對云基礎架構進行更改的眾多用戶變得越來越重要。日志可以成為識別可疑活動和快速修復安全狀況的關鍵。

在充滿外部威脅的環境中，基本的云衛生沒有妥協的余地。最初可能是默認設置的錯誤，最終可能會導致企業領導者、員工和客戶面臨非常昂貴的危機。通過將重點明確放在云衛生和定期安全審查上，企業可以走上一條戰略性的云路徑，以支持結束網絡安全風險的使命。