關于云計算應用安全性的5大誤解

在全球新冠疫情大流行期間，世界各地的企業組織紛紛將數字化建設的重點轉移到為遠程員工和虛擬環境提供支持，因此云計算的建設和應用得到了快速發展。而在此期間，一些非法攻擊者也看到了機會，針對云計算的網絡攻擊開始不斷增加。這讓很多企業管理者對云計算的應用安全性產生了誤解。

對于企業組織來說，準確認清云應用安全方面的事實和謊言是至關重要的，這將會直接影響其未來云化發展戰略的決策與執行。在本文中，研究人員收集了目前關于云計算應用安全性的五個誤區，并對其進行了分析和說明。

誤解1：云計算的本質就是不安全的

自從企業組織開始向云上遷徙開始，許多科技類、行業類甚至安全類的專業媒體就一直在向公眾反復傳遞一種觀點，上云后會面臨更大的安全挑戰，云計算的本質似乎就代表了不安全性。持有這種觀點的人，往往過分聚焦在云計算的一個特性：它實現了更廣泛的訪問和連接，可以從世界上任何地方通過互聯網訪問，所以很容易受到網絡攻擊和數據泄露等威脅。

其實，對于任何的信息化系統，完全保證安全都是不可能的。在傳統網絡系統上，即便企業大量采用了加密、防火墻、IPS、WAF、DLP等安全防護措施，攻擊者也總有可能繞過這些防御措施，非法獲取到敏感數據。對于云計算應用而言，其面對的安全威脅態勢和傳統信息化應用并沒有明顯的差別。而且，相比很多企業普遍存在的專業安全運營能力不足，云服務提供商（CSP）更有能力和條件，確保底層計算設備不斷更新和加固，從而有效抵御各種可能的威脅。此外，目前主流的CSP均能夠提供各種內置安全工具和能力，這大大簡化了企業云安全管理的難度。

事實上，今天的CSP在保護客戶云計算應用安全方面投入了大量資金和人力，因此可以說，CSP通常采用了比一般企業組織更先進的安全措施。他們有專門的安全團隊，專職負責檢測和應對安全威脅，并不斷改善云計算平臺的整體安全態勢。這些安全團隊會持續性地收集、研究最新的威脅情報，并不間斷地對云計算平臺安全威脅狀況進行監控。

誤解2：CSP可以窺視企業的云上數據

關于云計算應用的最大誤解之一，就是CSP可以不受制約地訪問和獲取客戶的云上數據。被媒體大量報道的云上數據泄露和非法訪問事件則不斷加劇了使用者的這一誤解，引發了企業對云計算應用時的隱私性和數據安全擔憂。

一旦數據進入云端，客戶就幾乎無法控制數據，這確實會引發企業的擔心。但事實上，盡管CSP在向客戶提供云計算應用服務時，有時會需要訪問客戶的云基礎設施，但他們的各種運營行為都會受到嚴格而廣泛的數據隱私法規約束，以確保用戶云上數據的機密性和安全性。此外，CSP還需要按照監管機構要求嚴格管理和保護云上的數據安全，主動應對和降低數據泄露的風險。

誤解3：實現云應用安全太過昂貴

造成這種誤解的原因是，一些企業往往只關注了實現云應用安全的初始成本，卻忽略云計算應用的長期性好處及投入性價比。通過將云基礎設施和安全運營維護外包給CSP，企業組織可以在計算設備、軟件系統和安全人員配備上節省大量的資金投入。

此外，CSP還可以提供可靈活的可擴展性，讓企業更好適應未來不斷變化的業務發展需求，從而實現對云計算資源的按需使用。當企業組織與CSP合作時，他們可以依靠CSP的專業知識和系統化資源來獲得一流的安全性和災備服務。避免了單獨評估、管理和維護這些服務時的人力和成本投入。

誤解4：只有大企業才能安全地使用云

對于很多中小企業組織來說，理解和使用云計算這樣的技術是有一個學習曲線的。因此會產生一種誤解，只有大企業才有條件安全的使用云計算。事實上，云計算具有足夠的應用彈性，已成為各種規模企業都可以輕松應用的重要技術。

對于中小型企業組織來說，云計算提供了各種各樣的服務，從基本文件存儲到大數據分析、數據安全、測試和開發等等。云還為中小型企業提供數據安全、威脅檢測和災難恢復等安全性選項，其中很多能力在傳統模式下只有大公司才能投入建設并使用。因此，可以認為云計算技術其實給很多中小型企業創造了一個和大型企業更加公平競爭的環境。

誤解5：云計算會面臨合規方面的挑戰

盡管近年來云計算技術在政府、金融、交通、能源等行業中迅速落地應用，但也帶來了一個新的誤解，就是云計算技術難以符合目前的行業性法規和標準要求，會給企業帶來應用合規方面的挑戰。由于擔心不合規的風險，很多企業也擱置了向云上遷徙的計劃。

事實上，云計算具有更強大的安全措施和數據保護能力，可以幫助企業組織增強對法規和標準的遵從性。CSP在面向行業用戶提供云計算服務前，都會投入大量資源開展應用的合規性建設，以確保其系統符合各種法規和標準（如HIPAA和GDPR）。

云技術通過提供數據管理和訪問的實時可見性，使企業能夠輕松跟蹤和監控法規要求的合規性。該特性允許企業輕松識別和解決遇到了違規問題，從而降低違法風險。