對于企業CIO來說，是否上云已經不是選擇題，而是通往數字化的必由之路。不過，隨著業務加速云化，一些企業的安全團隊卻仍然停留在原有的思維定式，忽視了對新業務部署時的風險控制。事實上，云應用和基礎架構層面的數據泄露事件已經發生多起，而且勒索病毒和其他各類惡意軟件的數量也在顯著增加。

在新冠肺炎疫情期間，許多企業都試圖加快采用云技術。“事實上，Gartner近期進行的一項調查顯示，新冠肺炎疫情造成業務中斷之后，如今采用云服務的企業之中的近70%計劃增加在云技術方面的支出。”但是，由于目前90%的云工作負載均由Linux支持，而X-Frand報告表明，過去十年中與Linux相關的惡意軟件系列增加了500%，因此，云環境可能成為威脅源的主要攻擊媒介。

Vmware在一份調查中提到，越來越多的攻擊者正試圖繞過傳統安全解決方案。在分析的2000個攻擊樣本中，90%以上都出現了防御規避行為。勒索軟件在過去一年內明顯復蘇，在占分析樣本95%的勒索軟件中，防御規避行為繼續發揮關鍵作用。這些勒索軟件重點攻擊能源、政府和制造業部門，表明勒索軟件的復蘇已成為地緣政治緊張局勢下的不良“副產品”。

這意味著，攻擊者正變得善于規避安全解決方案，攻擊質量提升，而在指揮和控制方面變得更加隱秘，通用類的安全監測很難察覺。同時，應用層、協議級的攻擊正在成為主要威脅，攻擊者可以發起多維的向量攻擊。調查顯示，在DDoS保護服務遇到的攻擊中有86%以上使用了兩個或多個威脅媒介，其中8%包含五個或多個媒介。

LinkedIn曾經做過一項調查：49%的CIO和企業認為，影響他們上云的主要原因是擔心數據的丟失和泄漏，59%的人認為，傳統的網絡安全工具在云端具有局限性。事實上，盡管當前各廠商在設計架構時更重視IaaS層的資源隔離，不過PaaS層和SaaS層仍儲存了大量的用戶數據。之所以出現這些問題，一方面是上云業務與原有IT架構的安全組件集成度不夠，另一方面也是企業客戶過于追求成本效益，忽視了安全因素。

通常來說，云安全可以通過網狀的大量客戶端對網絡軟件行為進行異常監測，獲取互聯網中木馬、惡意程序的最新信息，推送到服務端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客戶端。不過，隨著開放網絡和業務共享場景愈發多變，新型的攻擊方式也是不斷涌現。多云供應、資源虛擬化、數據所有權分離等問題難以從根本上解決，更不用說云服務中包含了很多軟件應用，更是暴露出潛在風險。

隨著開源惡意軟件的增加，IBM通過評估發現，攻擊者可能正在尋找提高利潤率的方法，即他們可能會通過降低成本、提高效率、創造機會來發起收益更高的攻擊。該報告強調，多家威脅組織(如APT28、APT29和Carbanak)均轉向開源惡意軟件，這表明該趨勢會導致新一年出現更多云環境攻擊。

IBM X-Force威脅情報指數報告指出，攻擊者正在利用云環境提供的可擴展處理能力，將大量云使用費用轉嫁給受害企業。Intezer在2020年觀察到，超過13%的Linux加密挖掘惡意軟件中出現了從未被發現過的新代碼。

由于攻擊者的目標鎖定在云上，所以，X-Force建議企業應該考慮針對其安全策略采用零信任方法。企業還應將保密計算作為其安全基礎設施的核心組件，以幫助保護最敏感的數據。通過對使用中的數據進行加密，企業可以減少惡意攻擊者可利用的漏洞，確保即使他們能夠訪問企業的敏感環境，也會一無所獲。

對于云安全網關服務商或者風控人士來說，要想在云安全領域分得一杯羹，或許可以從五個方面找到方法。

第一，對異常數據或欺詐活動進行監測和攔截。一般來說，客戶代表對客戶信息的訪問在單位時間內有數值波動不大，如果突然出現爆發式的訪問或下載記錄，說活動非常可疑。此時，CSG解決方案提供商必須準備必要的檢測和通知機制。

第二，檢測和防御固然重要，但相關人員更要知道“5W1H”，并為此做出可視化的深度分析報告。這樣一來，未經驗證的云程序可以提升其被預測性，在企業云遷移時加強安全風控。

第三，在線工作平臺的流行加速了惡意軟件的傳播，用戶在上傳、分享、下載文件的過程中很難察覺到位于云存儲系統的插件，為黑客訪問敏感數據創造了便利條件。因此，CSG有必要在識別、隔離、消除惡意軟件方面多下功夫。

第四，保護好用戶的機密信息。數據泄露并非都是源于黑客竊取，一些不謹慎的員工在不經意間會將企業數據丟失，其中涉及個人信息或者知識產權方面的文件。通常情況下，傳統預防措施(如DLP,Data leakage prevention)難以顧及云應用與平臺之間數據遷移，使得CSG需要提供專門的云端DLP覆蓋能力。

第五，對結構化和非結構化數據加密。為數據“上鎖”的必要性在于，加大黑客售賣信息的難度，從而降低竊取動機。事實上，企業主更喜歡采用第三方CSG的存儲和管理密鑰，并通過云平臺自帶的加密功能進行過濾和防護。從某種程度上來說，這種外包的方式會帶來額外的時間和經濟成本，因此企業內部有能力解決往往更好。

體來說，云端數據遷移時先要打包整體的數據源，關注部分數據可能會導致最終處理時失真。其次，數據遷移的對象范圍和規模要給出預估，充分利用邊緣化的存儲。再者，自動化流程往往比人工干預要更有效率。涉及到具體的數據傳輸加密過程，可以結合客戶端/應用加密、鏈路/網絡加密、代理加密三種模式。企業部署云計算不是一蹴而就，初期部署一些輕量化業務上云測試是必要的。除了要選擇熟悉的云服務商，還要實時監控數據中心和云端業務的運行情況，并且在出現問題時迅速決定投入哪些資源來抵御攻擊。