美國網絡安全公司OrcaSecurity發布了《2022年公有云安全研究報告》（以下簡稱“《報告》”），《報告》對公有云現狀以及如何解決云漏洞發表了獨到見解。

　　公有云安全現狀：

　　01、攻擊路徑非常短：攻擊者平均攻擊路徑只需3個步驟，這意味著攻擊者只需在云環境中找到三個可連接可利用的漏洞就可以泄露數據對企業進行勒索。

　　02、漏洞是主要的初始攻擊媒介：78% 的已識別攻擊路徑使用已知漏洞作為初始訪問攻擊媒介，這表示企業需要更加重視漏洞修補。

　　03、存儲資產通常處于不安全狀態：攻擊者可以公開訪問大多數云環境的 S3 存儲桶和 Azure Blob 存儲資產，這是一種高度可利用的錯誤配置，也是眾多數據泄露的原因。

　　04、沒有遵循基本的安全實踐：許多基本的安全措施，如多重身份驗證（MFA），加密，強密碼和端口安全性，仍然沒有相應地應用。

　　05、云原生服務被忽視：盡管云原生服務很容易啟動，但其仍然需要維護和適當的配置：70%的企業擁有可公開訪問的Kubernetes API服務器。

　　《報告》顯示，企業仍有許多工作要做，從未打補丁的漏洞到過于寬松的身份驗證，再到存儲資產容易暴露。然而，企業無法修復其環境中的所有風險，所以，企業應該戰略性地工作，以確保總是首先修補危及企業關鍵資產的風險。

　　近日，阿里云也發布了《云上數字政府之數據安全建設指南》（簡稱“《指南》”），《指南》給出了數據安全從規劃到建設到評估再到運營的方法論，為政企數據安全建設提供了參考借鑒。《指南》包括數據安全風險大圖、“規劃-建設-評估-運營”螺旋上升式建設框架、數據安全能力建設雷達圖、五大典型業務場景建設方案、三大案例直觀呈現最佳實踐等以解決政企單位云上安全。

　　云安全廠商知道創宇創始人兼CEO趙偉提出：讓安全能力長在云上，其構造出一套“云安全治理平臺”，建立小型多層次、獨立、專有的安全云。知道創宇表示，云安全治理需要“以小云護主云，云云協同”。從應用安全防護層、內容安全治理層、業務安全防護層、全球威脅情報協同治理層四個層級保護主云安全，以實現統一安全管理、安全防護、風險監測、安全合規和態勢感知。

　　Orca Security首席執行官Avi Shua也表示：“公共云的安全性不僅取決于提供安全云基礎設施的云平臺，還取決于企業在云中的工作負載、配置和身份狀態，企業需要選擇符合自身的云安全問題解決方案。”

　　更多信息可以來這里獲取==>>電子技術應用-AET<<