隨著云端能力的廣泛?jiǎn)⒂?，以及隨后組織網(wǎng)絡(luò)的快速生長(zhǎng)，再趕上最近遠(yuǎn)程辦公的興起，使得組織的攻擊面大規(guī)模擴(kuò)散，直接導(dǎo)致了連接結(jié)構(gòu)中日益增長(zhǎng)的安全盲點(diǎn)。攻擊面管理會(huì)挖掘互聯(lián)網(wǎng)上的數(shù)據(jù)組以及證書(shū)庫(kù)，或者模擬攻擊者使用嗅探技術(shù)的方式。兩種方式的目的都是對(duì)組織在發(fā)現(xiàn)流程中能夠找到的資產(chǎn)進(jìn)行一次全面的分析。兩種方式都包括掃描域名、子域名、IP地址、端口、影子IT等面向互聯(lián)網(wǎng)的資產(chǎn)，之后再進(jìn)行分析，檢測(cè)是否存在漏洞或者安全缺口。高級(jí)的攻擊面管理包括可進(jìn)行的緩解建議，修復(fù)發(fā)現(xiàn)的安全缺口；建議從未使用的或不必要的資產(chǎn)以減少攻擊面，到通知個(gè)人他們的郵箱存在隱患，可能成為釣魚(yú)攻擊的目標(biāo)。攻擊面管理解決方案如果和像EDR那樣的響應(yīng)型產(chǎn)品關(guān)聯(lián)，就更偏向于基于掃描能力；而如果包含在像擴(kuò)展安全態(tài)勢(shì)管理這類的主動(dòng)平臺(tái)，就更偏向于從掃描能力擴(kuò)展到攻擊者的偵查技術(shù)和工具層面。

1)責(zé)任和數(shù)據(jù)風(fēng)險(xiǎn)：云服務(wù)可以完全控制或有限地控制使用者的數(shù)據(jù)。2)用戶身份聯(lián)合：數(shù)字身份是網(wǎng)絡(luò)安全的關(guān)鍵部分。

3)法規(guī)遵從性：即使我們通過(guò)互聯(lián)網(wǎng)獲得服務(wù)，我們的數(shù)據(jù)也被服務(wù)提供商物理地存儲(chǔ)在一個(gè)地方。

4)業(yè)務(wù)連續(xù)性和彈性：企業(yè)需要確保他們的業(yè)務(wù)在各種條件下運(yùn)行。5)用戶隱私和數(shù)據(jù)的二次使用：一旦數(shù)據(jù)被轉(zhuǎn)移到云上，我們就再也無(wú)法控制它了。

6)服務(wù)和數(shù)據(jù)集成：在將敏感數(shù)據(jù)傳輸?shù)皆贫说倪^(guò)程中，存在數(shù)據(jù)暴露的風(fēng)險(xiǎn)。

7)多租戶和物理安全：企業(yè)想要降低成本，多租戶是云提供商提供的一種選擇。

8)發(fā)生率分析和取證：當(dāng)發(fā)生事故時(shí)，識(shí)別漏洞并管理它們是至關(guān)重要的。

9)基礎(chǔ)設(shè)施安全：基礎(chǔ)設(shè)施安全性至關(guān)重要，必須足夠好才能保護(hù)系統(tǒng)。提供商需要確保他們有一個(gè)強(qiáng)大的基礎(chǔ)設(shè)施，并經(jīng)常審核他們的系統(tǒng)。

10)非生產(chǎn)環(huán)境暴露：應(yīng)用程序并不只有一個(gè)環(huán)境。提供商在生產(chǎn)環(huán)境中發(fā)布代碼之前，可能會(huì)在兩個(gè)甚至更多的環(huán)境中測(cè)試。

近年來(lái)，網(wǎng)絡(luò)威脅正在成倍增加和升級(jí)。面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢(shì)，人工智能中特別是尖端的機(jī)器學(xué)習(xí)方法已經(jīng)開(kāi)始應(yīng)用到網(wǎng)絡(luò)防御領(lǐng)域，包括根據(jù)數(shù)據(jù)模式來(lái)開(kāi)發(fā)用于防御網(wǎng)絡(luò)攻擊的預(yù)測(cè)模型等。這種人工智能方法可能非常有效，但卻使機(jī)器學(xué)習(xí)型系統(tǒng)容易受到錯(cuò)誤和惡意干擾的影響，因此開(kāi)發(fā)能夠防止欺騙性攻擊的穩(wěn)固性機(jī)器學(xué)習(xí)型系統(tǒng)已迫在眉睫，但各種穩(wěn)固性措施通常會(huì)削弱機(jī)器學(xué)習(xí)型系統(tǒng)的準(zhǔn)確性。機(jī)器學(xué)習(xí)不僅具有自動(dòng)檢測(cè)的潛力，還具有主動(dòng)防御攻擊的潛力。從理論上講，機(jī)器學(xué)習(xí)可以通過(guò)動(dòng)態(tài)調(diào)整來(lái)干擾或減輕攻擊。這種在準(zhǔn)確性與穩(wěn)固性之間權(quán)衡的過(guò)程中帶來(lái)了一個(gè)問(wèn)題，例如，一套基于機(jī)器學(xué)習(xí)的防病毒系統(tǒng)通過(guò)不斷動(dòng)態(tài)調(diào)整，以抵御不斷發(fā)展的惡意軟件攻擊，與此同時(shí)，開(kāi)發(fā)人員可以細(xì)致地監(jiān)管該系統(tǒng)，并加強(qiáng)其防范欺騙性攻擊的能力，但這樣又會(huì)妨礙該系統(tǒng)準(zhǔn)確檢測(cè)出新的惡意軟件。

1. 基礎(chǔ)設(shè)施可信

可信計(jì)算指在計(jì)算的同時(shí)進(jìn)行安全防護(hù)，使計(jì)算結(jié)果總是與預(yù)期值一樣，使計(jì)算全程可測(cè)可控，不受干擾。

2. 微隔離

微隔離技術(shù)能夠?qū)|西向流量進(jìn)行全面精細(xì)的可視化分析，并進(jìn)行細(xì)粒度的安全訪問(wèn)策略管理。目前微隔離一般包括網(wǎng)絡(luò)端口現(xiàn)狀梳理、端口分析、端口監(jiān)控和處置功能。

3. 應(yīng)用安全

云服務(wù)與外部服務(wù)進(jìn)行交互時(shí)，應(yīng)通過(guò)使用端口白名單、脆弱性檢測(cè)與安全加固、HTTP請(qǐng)求內(nèi)容檢測(cè)及DNS安全等關(guān)鍵技術(shù)，確保云服務(wù)應(yīng)用安全。

4. 數(shù)據(jù)安全

基于云平臺(tái)數(shù)據(jù)安全保護(hù)要求，應(yīng)使用一定數(shù)據(jù)安全技術(shù)手段保障數(shù)據(jù)的機(jī)密性、完整性、可用性，典型手段包括數(shù)據(jù)脫敏、敏感數(shù)據(jù)自動(dòng)識(shí)別、數(shù)據(jù)加密、日志審計(jì)等。

5. 基于零信任的接入控制

基于零信任的理念，對(duì)接入的用戶和設(shè)備進(jìn)行聯(lián)合身份認(rèn)證、信任持續(xù)評(píng)級(jí)和動(dòng)態(tài)自適應(yīng)訪問(wèn)控制，并將審計(jì)結(jié)果作為信任評(píng)級(jí)的風(fēng)險(xiǎn)項(xiàng)，最終形成接入控制的閉環(huán)管理。

云計(jì)算是一種按使用量付費(fèi)的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問(wèn)，進(jìn)入可配置的計(jì)算資源共享池(資源包括網(wǎng)絡(luò)，服務(wù)器，存儲(chǔ)，應(yīng)用軟件，服務(wù))，這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進(jìn)行很少的交互。

主要有三種系統(tǒng)類別：IaaS, PaaS, IaaS：

SaaS：傳統(tǒng)軟件用戶將其安裝到硬盤然后使用。在云中，用戶不需要購(gòu)買軟件，而是基于服務(wù)付費(fèi)。它支持多租戶，這意味著后端基礎(chǔ)架構(gòu)由多個(gè)用戶共享，但邏輯上它沒(méi)每個(gè) 用戶是唯一的。

PaaS：PaaS將開(kāi)發(fā)環(huán)境作為服務(wù)提供。開(kāi)發(fā)人員將使用供應(yīng)商的代碼塊來(lái)創(chuàng)建他們自己的應(yīng)用程序。該平臺(tái)將托管在云中，并將使用瀏覽器進(jìn)行訪問(wèn)。

IaaS：在IaaS中，供應(yīng)商將基礎(chǔ)架構(gòu)作為一項(xiàng)服務(wù)提供給客戶，這種服務(wù)以技術(shù)，數(shù)據(jù)中心和IT服務(wù)的形式提供，相當(dāng)于商業(yè)世界中的傳統(tǒng)“外包”，但費(fèi)用和努力要少得多。主要目的是根據(jù)所需的應(yīng)用程序?yàn)榭蛻舳ㄖ平鉀Q方案。

云安全是基于云計(jì)算商業(yè)模式的安全軟件、硬件、用戶、機(jī)構(gòu)安全云平臺(tái)的總稱。云服務(wù)因其總體架構(gòu)、網(wǎng)絡(luò)部署、運(yùn)維服務(wù)具有相似性，面臨著共性安全風(fēng)險(xiǎn)，以下從基礎(chǔ)設(shè)施、網(wǎng)絡(luò)部署、云上應(yīng)用、運(yùn)維服務(wù)四個(gè)方面進(jìn)行安全風(fēng)險(xiǎn)分析。其中，基礎(chǔ)設(shè)施是指為云上應(yīng)用提供運(yùn)行環(huán)境的軟硬件及管理編排系統(tǒng)。

(1) 基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)

主要包括：物理環(huán)境及設(shè)備安全風(fēng)險(xiǎn)、虛擬化安全風(fēng)險(xiǎn)、開(kāi)源組件風(fēng)險(xiǎn)、配置與變更操作錯(cuò)誤、帶寬惡意占用、資源編排攻擊。

(2)網(wǎng)絡(luò)部署安全風(fēng)險(xiǎn)

主要包括：數(shù)據(jù)泄露、身份和密鑰管理、接入認(rèn)證、跨數(shù)據(jù)中心的橫向攻擊、APT等新型攻擊。

(3)云上應(yīng)用安全風(fēng)險(xiǎn)

主要包括：API接口安全、無(wú)服務(wù)器攻擊、DOS攻擊、跨租戶/跨省橫向攻擊、跨工作負(fù)載攻擊、云服務(wù)被濫用及違規(guī)使用、用戶賬號(hào)管理安全、核心網(wǎng)攻擊。

(4)運(yùn)維服務(wù)安全風(fēng)險(xiǎn)

主要包括：管理接口攻擊、管理員權(quán)限濫用、漏洞和補(bǔ)丁管理安全、安全策略管理。

(1) 確保數(shù)據(jù)的機(jī)密性、完整性和可用性

制定可靠的政策為識(shí)別和降低數(shù)據(jù)機(jī)密性、完整性和可用性風(fēng)險(xiǎn)(稱為CIA 三元組)提供了一種標(biāo)準(zhǔn)化方法，并提供了對(duì)問(wèn)題作出響應(yīng)的適當(dāng)步驟。

(2) 幫助將風(fēng)險(xiǎn)降至最低

信息安全策略詳細(xì)說(shuō)明了組織如何發(fā)現(xiàn)、評(píng)估和緩解 IT 漏洞以阻止安全威脅，以及在系統(tǒng)中斷或數(shù)據(jù)泄露后用于恢復(fù)的流程。

(3) 在整個(gè)組織內(nèi)協(xié)調(diào)和執(zhí)行安全計(jì)劃

任何安全計(jì)劃都需要?jiǎng)?chuàng)建一個(gè)有凝聚力的信息安全策略。這有助于防止出現(xiàn)分歧的部門決策。該策略定義了組織如何識(shí)別不執(zhí)行有用安全功能的無(wú)關(guān)工具或流程。

(4) 將安全措施傳達(dá)給第三方和外部審計(jì)師

編纂安全策略使組織能夠輕松地將其圍繞 IT 資產(chǎn)和資源的安全措施傳達(dá)給員工和內(nèi)部利益相關(guān)者，還可以傳達(dá)給外部審計(jì)師、承包商和其他第三方。

(5) 幫助組織合規(guī)

擁有完善的安全策略，在國(guó)外審核安全標(biāo)準(zhǔn)和法規(guī)的合規(guī)性，在我國(guó)則落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)等。