在云时代背景下，企业将更多的业务系统云化，更多的安全问题也随之暴露出来，保护云上业务成为当务之急。

一、云安全现状与风险

在数字化转型进程早期，企业作为云租户主要以使用IaaS服务为主，而随着近些年云原生技术的发展，越来越多的组织使用K8S+容器等PaaS服务，目前又流行使用托管力度更大的Serverless服务来构建云上业务系统。云计算是一种各类技术相对集中的场景，业务系统上云后，安全风险也会集中起来。在网络侧，CNCERT在2019年的报告显示，将近80%的DDoS攻击是集中在云上的，另外，一旦攻击者入侵至租户的VPC后，攻击会疯狂的横移，最大限度扩大威胁范围，；在工作负载侧，2021年Flexera发布的《云计算现状报告》显示，50%的企业将工作负载转移至云端，像挖矿容器植入或者虚拟机被利用成为矿机等安全风险，当下已成为云上威胁的重灾区。

二、企业云安全建设路径

在企业业务迁移至云环境的过程中，绿盟科技总结了关于安全建设的四个关键步骤，助力企业安全上云、安全用云。

Step 1:在企业计划上云时尽早考虑安全性，根据面临风险的优先级制定安全策略。绝大部分对云上业务的成功攻击都是由于租户对资源配置错误所导致的，所以对于企业的安全团队成员，需要着重培养在云安全方向的技能与能力。

Step 2: 参考CARTA安全体系、CSA的CCM云安全控制矩阵并结合国内外合规标准来设计包含安全技术、管理、运营等体系的云安全方案架构。

Step 3: 将网络、工作负载、应用和数据等关键元素作为防护对象，构建纵深防御安全体系。公有云环境下常见的安全技术栈为CSPM和CWPP，企业需结合自身业务情况选择更有针对性的安全能力。

Step 4: 构建统一安全运营平台，一方面利用大数据分析技术来分析各安全设备日志，有效降低安全告警数量，另一方面通过态势感知确认云上的业务系统是否受到威胁以及评估威胁影响的范围。

三、云安全最佳实践

1、网络：对于租户，需重点关注云内东西向网络的防护。企业可以通过按需建立VPC、使用云服务提供商所提供的子网ACL、安全组等服务，实现对网络的访问控制。除做好微隔离外，建议使用云服务提供商的流量镜像服务或部署在计算实例上的Agent获取VPC内的网络流量，并通过专业的安全设备检测流量中是否存在威胁，以提高对网络的可见性和控制力。

2、数据：为了防止云上敏感数据泄露，绿盟科技提出“知、识、控、察”四字理念来对云上数据进行安全保护。“知”，指的是企业需要了解哪些是敏感数据，这一环节下我们通过数据分级分类服务来帮助企业明确需要防护的数据对象。“识”，指的是识别出云上敏感数据，通过云服务提供商原生服务配合第三方安全供应商能力扫描并发现需要防护的数据对象。“控”，指的是利用安全工具或服务对静态、传输中的数据进行机密性和完整性保护，其中涉及主要技术手段包括使用KMS加密数据、对敏感数据进行脱敏、使用IAM完成基于身份或者属性的数据访问控制。“察”，也就是观察正在或已经发生的数据操作行为，可以选择数据库审计以及DLP产品来对敏感数据操作和流向做审计和溯源。

3、工作负载：当开发云原生应用的时候，企业已从单体式架构转向微服务架构，以容器为载体交付业务系统。我们需要对容器在镜像构建、镜像存储、容器运行时等各阶段开展安全检测。

4、资源可见性：“人们无法保护看不到的事物”，企业可以利用云服务提供商原生的安全管理工具或者使用第三方安全供应商的工具拉取日志和指标等相关信息，建立多维度安全态势。比如凭借云服务提供商提供的网络流日志，可以初步判断是否正在发生DDoS攻击；通过计算实例CPU使用率这个指标，可以反映出可能发生的挖矿攻击等。

5、异构云环境下的统一安全管理：通过部署多云安全管理系统，企业可以获得一站式的云上资源统一管理能力，包括一键云上资源迁移等功能；多云安全管理系统支持各云平台下安全能力的自动化部署，同时实现云上资源脆弱性管理和统一安全运营。