隨著云計(jì)算技術(shù)的發(fā)展，上云已經(jīng)成為企業(yè)數(shù)字化轉(zhuǎn)型的必選項(xiàng)。面對(duì)不同的業(yè)務(wù)需求，同時(shí)為了數(shù)據(jù)保護(hù)、監(jiān)管等要求，大部分企業(yè)都會(huì)選擇多云架構(gòu)，這就使得企業(yè)內(nèi)部的云架構(gòu)變得越來越復(fù)雜，管理難度也越來越大。隨之而來，第三方風(fēng)險(xiǎn)正在讓企業(yè)的云安全管理變得舉步維艱。

根據(jù)IDC 近期發(fā)布的一份市場(chǎng)預(yù)測(cè)表明，亞太地區(qū)的公有云服務(wù)市場(chǎng)總值將于 2026 年達(dá)到 1536 億美元，該數(shù)字十分驚人，因而各公司面臨填補(bǔ)其云基礎(chǔ)架構(gòu)缺口的壓力。尤其是第三方風(fēng)險(xiǎn)可能對(duì)企業(yè)構(gòu)成實(shí)質(zhì)性威脅。

不難發(fā)現(xiàn)，亞太地區(qū)即是公有云服務(wù)的重要市場(chǎng)，又是安全風(fēng)險(xiǎn)防御最高的戰(zhàn)場(chǎng)。筆者認(rèn)為，面對(duì)未來存在的不確定巨大安全挑戰(zhàn)，以及第三方風(fēng)險(xiǎn)的不斷增加，企業(yè)必須重新審視面臨的安全隱患，構(gòu)建更加穩(wěn)健的安全防御系統(tǒng)，才能確保云中業(yè)務(wù)和數(shù)據(jù)的絕對(duì)安全。

第三方風(fēng)險(xiǎn)正在威脅企業(yè)的云安全管理

企業(yè)在完成云架構(gòu)轉(zhuǎn)型之后，云服務(wù)提供商、供應(yīng)商、合作伙伴等都成為業(yè)務(wù)生態(tài)系統(tǒng)中最基本組成部分，這就意味著企業(yè)面臨著來自于更多方面的安全風(fēng)險(xiǎn)。

眾所周知，企業(yè)在本地構(gòu)建的數(shù)據(jù)中心往往都有著比較明確的網(wǎng)絡(luò)邊界，并通過實(shí)施安全控制措施（如防火墻）來保護(hù)這些邊界。上云之后，由于基礎(chǔ)設(shè)施是分布式的，很多業(yè)務(wù)和數(shù)據(jù)會(huì)存儲(chǔ)在公共基礎(chǔ)設(shè)施之上，這就意味著企業(yè)不可能完全實(shí)現(xiàn)安全控制，存在的安全風(fēng)險(xiǎn)也就更高。

根據(jù)IBM《2023年數(shù)據(jù)泄露成本報(bào)告》顯示，2023年數(shù)據(jù)泄露的全球平均成本上升至445萬美元，達(dá)到歷史新高，比2022年的435萬美元增加了2.3%，比2020年的386萬美元增加了15.3%。其中，67%的數(shù)據(jù)泄露事件是由良性第三方或攻擊者自己報(bào)告的。

Akamai 云計(jì)算產(chǎn)品線首席技術(shù)官 Jay Jenkins

“盡管絕大多數(shù)亞太地區(qū) (APAC) 企業(yè)將云視為其戰(zhàn)略的關(guān)鍵，但許多企業(yè)發(fā)現(xiàn)自己成了數(shù)據(jù)丟失以及從惡意軟件到分布式拒絕服務(wù)等各種網(wǎng)絡(luò)攻擊的受害者。” Akamai 云計(jì)算產(chǎn)品線首席技術(shù)官 Jay Jenkins表示，隨著攻擊者獲得的信息越來越敏感，可能會(huì)讓個(gè)人客戶面臨威脅。公司需要警惕各類不同程度的威脅，無論是竊取高級(jí)客戶信息、姓名和地址，還是財(cái)務(wù)信息，都需警惕被竊。

對(duì)于現(xiàn)代化企業(yè)而言，雖然供應(yīng)鏈存在著固有的安全風(fēng)險(xiǎn)，但它也是企業(yè)成功的關(guān)鍵要素，因此關(guān)閉第三方運(yùn)營(yíng)就等于關(guān)閉企業(yè)運(yùn)營(yíng)。與此同時(shí)，由于現(xiàn)代化企業(yè)的安全策略要求安全團(tuán)隊(duì)必須實(shí)現(xiàn)從安全監(jiān)督者向業(yè)務(wù)推動(dòng)者的角色轉(zhuǎn)變，這就意味著IT管理者需要在不降低業(yè)務(wù)性能，保證企業(yè)生產(chǎn)力的情況下保障安全性。對(duì)IT管理者而言，克服第三方業(yè)務(wù)與安全的困境極具挑戰(zhàn)性。

“遷移到云端的小型企業(yè)不一定會(huì)成為黑客攻擊的目標(biāo)。然而，對(duì)于較大型云端企業(yè)來說，軟件本身可能會(huì)成為攻擊的目標(biāo)。僅僅是使用這些服務(wù)，可能就會(huì)讓企業(yè)在不知不覺中面臨潛在攻擊。 ” Jay Jenkins認(rèn)為，當(dāng)涉及到云使用方面的內(nèi)部治理時(shí)，理想情況下，團(tuán)隊(duì)?wèi)?yīng)該有安全著陸區(qū)，以幫助他們?cè)谠浦斜３职踩踩珯C(jī)制引入實(shí)際的軟件供應(yīng)鏈，確保從一開始就安全無虞，而不是事后才考慮安全問題和抵御攻擊者，這對(duì)于攻擊防御來說意義重大。

重構(gòu)穩(wěn)健系統(tǒng)成為防范潛在威脅的關(guān)鍵要素

大型企業(yè)和小型企業(yè)可以采取哪些措施來管理云環(huán)境并避免遭受網(wǎng)絡(luò)攻擊呢？筆者認(rèn)為，要克服這些挑戰(zhàn)，企業(yè)首先必須放棄傳統(tǒng)安全思維模式下運(yùn)營(yíng)模式，重頭構(gòu)建穩(wěn)健的安全防御系統(tǒng)，才能阻止任何風(fēng)險(xiǎn)或威脅，賦能業(yè)務(wù)可持續(xù)發(fā)展。

對(duì)于現(xiàn)代安全防御體系的構(gòu)建，Jay Jenkins也給出了三條實(shí)用建設(shè)。其一，要熟悉第三方供應(yīng)商認(rèn)證。查看他們的安全認(rèn)證，了解認(rèn)證所代表的含義，并進(jìn)行實(shí)際審查，這有助于發(fā)現(xiàn)其安全態(tài)勢(shì)方面存在的任何不一致情況。

其二，安全認(rèn)證通常會(huì)附帶一個(gè)特定的服務(wù)列表。公司必須開展盡職調(diào)查，并了解他們可能使用哪些服務(wù)以及這些認(rèn)證涵蓋其中的哪些服務(wù)。建議各公司對(duì)這些服務(wù)自行開展?jié)B透測(cè)試。公司還需要了解自己在這些領(lǐng)域以及對(duì)于第三方供應(yīng)商的風(fēng)險(xiǎn)偏好。

其三，對(duì)于仍依賴防火墻等技術(shù)的企業(yè)來說，選擇使用基于服務(wù)的網(wǎng)絡(luò)可能會(huì)增強(qiáng)安全性、提高服務(wù)質(zhì)量并優(yōu)化系統(tǒng)。企業(yè)應(yīng)評(píng)估此類網(wǎng)絡(luò)的相關(guān)優(yōu)勢(shì)和風(fēng)險(xiǎn)，并確保網(wǎng)絡(luò)與企業(yè)的整體業(yè)務(wù)和技術(shù)目標(biāo)相一致。

其中，從基于機(jī)器的安全轉(zhuǎn)向基于服務(wù)的安全后，不論在第三方還是云端，公司都需要了解端點(diǎn)，包括不同的應(yīng)用程序編程接口 (API)，以及這些服務(wù)的托管位置。

Jay Jenkins強(qiáng)調(diào)，API 是現(xiàn)代軟件開發(fā)的重要組成部分，且越來越多地被眾多企業(yè)所采用。它們是不同系統(tǒng)之間彼此通信以及共享數(shù)據(jù)和功能的“橋梁”。但是，正如計(jì)算領(lǐng)域的其他方面一樣，API 安全保護(hù)也是企業(yè)非常關(guān)注的一個(gè)問題。

“雖然亞太地區(qū)的企業(yè)確實(shí)也認(rèn)識(shí)到，提高安全性對(duì)于推動(dòng)積極的業(yè)務(wù)成果至關(guān)重要，但找到合適的合作伙伴來提供一系列嵌入不同安全和深度防御層的產(chǎn)品和服務(wù)，這將成為應(yīng)對(duì)不斷演變的威脅形勢(shì)的關(guān)鍵所在。” Jay Jenkins如是說。