隨著云端能力的廣泛啟用，以及隨后組織網(wǎng)絡(luò)的快速生長，再趕上最近遠程辦公的興起，使得組織的攻擊面大規(guī)模擴散，直接導致了連接結(jié)構(gòu)中日益增長的安全盲點。攻擊面管理會挖掘互聯(lián)網(wǎng)上的數(shù)據(jù)組以及證書庫，或者模擬攻擊者使用嗅探技術(shù)的方式。兩種方式的目的都是對組織在發(fā)現(xiàn)流程中能夠找到的資產(chǎn)進行一次全面的分析。兩種方式都包括掃描域名、子域名、IP地址、端口、影子IT等面向互聯(lián)網(wǎng)的資產(chǎn)，之后再進行分析，檢測是否存在漏洞或者安全缺口。高級的攻擊面管理包括可進行的緩解建議，修復發(fā)現(xiàn)的安全缺口；建議從未使用的或不必要的資產(chǎn)以減少攻擊面，到通知個人他們的郵箱存在隱患，可能成為釣魚攻擊的目標。攻擊面管理解決方案如果和像EDR那樣的響應(yīng)型產(chǎn)品關(guān)聯(lián)，就更偏向于基于掃描能力；而如果包含在像擴展安全態(tài)勢管理這類的主動平臺，就更偏向于從掃描能力擴展到攻擊者的偵查技術(shù)和工具層面。

1)責任和數(shù)據(jù)風險：云服務(wù)可以完全控制或有限地控制使用者的數(shù)據(jù)。2)用戶身份聯(lián)合：數(shù)字身份是網(wǎng)絡(luò)安全的關(guān)鍵部分。

3)法規(guī)遵從性：即使我們通過互聯(lián)網(wǎng)獲得服務(wù)，我們的數(shù)據(jù)也被服務(wù)提供商物理地存儲在一個地方。

4)業(yè)務(wù)連續(xù)性和彈性：企業(yè)需要確保他們的業(yè)務(wù)在各種條件下運行。5)用戶隱私和數(shù)據(jù)的二次使用：一旦數(shù)據(jù)被轉(zhuǎn)移到云上，我們就再也無法控制它了。

6)服務(wù)和數(shù)據(jù)集成：在將敏感數(shù)據(jù)傳輸?shù)皆贫说倪^程中，存在數(shù)據(jù)暴露的風險。

7)多租戶和物理安全：企業(yè)想要降低成本，多租戶是云提供商提供的一種選擇。

8)發(fā)生率分析和取證：當發(fā)生事故時，識別漏洞并管理它們是至關(guān)重要的。

9)基礎(chǔ)設(shè)施安全：基礎(chǔ)設(shè)施安全性至關(guān)重要，必須足夠好才能保護系統(tǒng)。提供商需要確保他們有一個強大的基礎(chǔ)設(shè)施，并經(jīng)常審核他們的系統(tǒng)。

10)非生產(chǎn)環(huán)境暴露：應(yīng)用程序并不只有一個環(huán)境。提供商在生產(chǎn)環(huán)境中發(fā)布代碼之前，可能會在兩個甚至更多的環(huán)境中測試。

近年來，網(wǎng)絡(luò)威脅正在成倍增加和升級。面對日益嚴峻的網(wǎng)絡(luò)安全態(tài)勢，人工智能中特別是尖端的機器學習方法已經(jīng)開始應(yīng)用到網(wǎng)絡(luò)防御領(lǐng)域，包括根據(jù)數(shù)據(jù)模式來開發(fā)用于防御網(wǎng)絡(luò)攻擊的預測模型等。這種人工智能方法可能非常有效，但卻使機器學習型系統(tǒng)容易受到錯誤和惡意干擾的影響，因此開發(fā)能夠防止欺騙性攻擊的穩(wěn)固性機器學習型系統(tǒng)已迫在眉睫，但各種穩(wěn)固性措施通常會削弱機器學習型系統(tǒng)的準確性。機器學習不僅具有自動檢測的潛力，還具有主動防御攻擊的潛力。從理論上講，機器學習可以通過動態(tài)調(diào)整來干擾或減輕攻擊。這種在準確性與穩(wěn)固性之間權(quán)衡的過程中帶來了一個問題，例如，一套基于機器學習的防病毒系統(tǒng)通過不斷動態(tài)調(diào)整，以抵御不斷發(fā)展的惡意軟件攻擊，與此同時，開發(fā)人員可以細致地監(jiān)管該系統(tǒng)，并加強其防范欺騙性攻擊的能力，但這樣又會妨礙該系統(tǒng)準確檢測出新的惡意軟件。

1. 基礎(chǔ)設(shè)施可信

可信計算指在計算的同時進行安全防護，使計算結(jié)果總是與預期值一樣，使計算全程可測可控，不受干擾。

2. 微隔離

微隔離技術(shù)能夠?qū)|西向流量進行全面精細的可視化分析，并進行細粒度的安全訪問策略管理。目前微隔離一般包括網(wǎng)絡(luò)端口現(xiàn)狀梳理、端口分析、端口監(jiān)控和處置功能。

3. 應(yīng)用安全

云服務(wù)與外部服務(wù)進行交互時，應(yīng)通過使用端口白名單、脆弱性檢測與安全加固、HTTP請求內(nèi)容檢測及DNS安全等關(guān)鍵技術(shù)，確保云服務(wù)應(yīng)用安全。

4. 數(shù)據(jù)安全

基于云平臺數(shù)據(jù)安全保護要求，應(yīng)使用一定數(shù)據(jù)安全技術(shù)手段保障數(shù)據(jù)的機密性、完整性、可用性，典型手段包括數(shù)據(jù)脫敏、敏感數(shù)據(jù)自動識別、數(shù)據(jù)加密、日志審計等。

5. 基于零信任的接入控制

基于零信任的理念，對接入的用戶和設(shè)備進行聯(lián)合身份認證、信任持續(xù)評級和動態(tài)自適應(yīng)訪問控制，并將審計結(jié)果作為信任評級的風險項，最終形成接入控制的閉環(huán)管理。

云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問，進入可配置的計算資源共享池(資源包括網(wǎng)絡(luò)，服務(wù)器，存儲，應(yīng)用軟件，服務(wù))，這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進行很少的交互。

主要有三種系統(tǒng)類別：IaaS, PaaS, IaaS：

SaaS：傳統(tǒng)軟件用戶將其安裝到硬盤然后使用。在云中，用戶不需要購買軟件，而是基于服務(wù)付費。它支持多租戶，這意味著后端基礎(chǔ)架構(gòu)由多個用戶共享，但邏輯上它沒每個 用戶是唯一的。

PaaS：PaaS將開發(fā)環(huán)境作為服務(wù)提供。開發(fā)人員將使用供應(yīng)商的代碼塊來創(chuàng)建他們自己的應(yīng)用程序。該平臺將托管在云中，并將使用瀏覽器進行訪問。

IaaS：在IaaS中，供應(yīng)商將基礎(chǔ)架構(gòu)作為一項服務(wù)提供給客戶，這種服務(wù)以技術(shù)，數(shù)據(jù)中心和IT服務(wù)的形式提供，相當于商業(yè)世界中的傳統(tǒng)“外包”，但費用和努力要少得多。主要目的是根據(jù)所需的應(yīng)用程序為客戶定制解決方案。

云安全是基于云計算商業(yè)模式的安全軟件、硬件、用戶、機構(gòu)安全云平臺的總稱。云服務(wù)因其總體架構(gòu)、網(wǎng)絡(luò)部署、運維服務(wù)具有相似性，面臨著共性安全風險，以下從基礎(chǔ)設(shè)施、網(wǎng)絡(luò)部署、云上應(yīng)用、運維服務(wù)四個方面進行安全風險分析。其中，基礎(chǔ)設(shè)施是指為云上應(yīng)用提供運行環(huán)境的軟硬件及管理編排系統(tǒng)。

(1) 基礎(chǔ)設(shè)施安全風險

主要包括：物理環(huán)境及設(shè)備安全風險、虛擬化安全風險、開源組件風險、配置與變更操作錯誤、帶寬惡意占用、資源編排攻擊。

(2)網(wǎng)絡(luò)部署安全風險

主要包括：數(shù)據(jù)泄露、身份和密鑰管理、接入認證、跨數(shù)據(jù)中心的橫向攻擊、APT等新型攻擊。

(3)云上應(yīng)用安全風險

主要包括：API接口安全、無服務(wù)器攻擊、DOS攻擊、跨租戶/跨省橫向攻擊、跨工作負載攻擊、云服務(wù)被濫用及違規(guī)使用、用戶賬號管理安全、核心網(wǎng)攻擊。

(4)運維服務(wù)安全風險

主要包括：管理接口攻擊、管理員權(quán)限濫用、漏洞和補丁管理安全、安全策略管理。

(1) 確保數(shù)據(jù)的機密性、完整性和可用性

制定可靠的政策為識別和降低數(shù)據(jù)機密性、完整性和可用性風險(稱為CIA 三元組)提供了一種標準化方法，并提供了對問題作出響應(yīng)的適當步驟。

(2) 幫助將風險降至最低

信息安全策略詳細說明了組織如何發(fā)現(xiàn)、評估和緩解 IT 漏洞以阻止安全威脅，以及在系統(tǒng)中斷或數(shù)據(jù)泄露后用于恢復的流程。

(3) 在整個組織內(nèi)協(xié)調(diào)和執(zhí)行安全計劃

任何安全計劃都需要創(chuàng)建一個有凝聚力的信息安全策略。這有助于防止出現(xiàn)分歧的部門決策。該策略定義了組織如何識別不執(zhí)行有用安全功能的無關(guān)工具或流程。

(4) 將安全措施傳達給第三方和外部審計師

編纂安全策略使組織能夠輕松地將其圍繞 IT 資產(chǎn)和資源的安全措施傳達給員工和內(nèi)部利益相關(guān)者，還可以傳達給外部審計師、承包商和其他第三方。

(5) 幫助組織合規(guī)

擁有完善的安全策略，在國外審核安全標準和法規(guī)的合規(guī)性，在我國則落實網(wǎng)絡(luò)安全等級保護和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護等。