错误配置可能给所有公共云平台带来风险，这意味着企业应该小心防范。

其中最大的云安全威胁来自对云访问控制和权限的不正确设置或配置。451 Research分析师Fernando Montenegro表示：“第一个问题是没有正确保护访问凭证。”例如，特别是对于管理员，通常倾向使用不太安全的身份验证方法。

与内部数据中心相比，在云环境中，缺乏多因素身份验证(MFA)会使风险加剧。如果管理员在传统环境中使用弱强度密码，攻击者需要进入数据中心才能使用它。但在云端，攻击者可实现远程访问。

Montenegro称：“在云中未能使用多因素身份验证的后果是，如果有人获取你的root账号，那么可获得无限访问。他们可创建资源和新账户，这是非常严重的问题”。

共享并不安全

为避免云安全威胁，我们最好回到基础层面。Gartner公司分析师Jay Heiser表示，例如，企业应该对文件共享特别谨慎，这通常很容易被访问。他说，大多数组织使用大量的SaaS应用程序，并且，通常不知道哪些支持共享，因为这时常是临时决策。

这就是现在云访问安全代理(CASB，例如Skyhigh和Bitglass的代理)在企业中发挥重要作用的原因。 Heiser说，CASB已经变得很像防火墙，因为它们被视为基础保护工具。

他指出：“如果企业想要控制文件共享，CASB工具是最有效的方法。”

企业容易忽略的另一个风险涉及共享应用程序开发代码。现在常见做法是将代码放在共享站点，例如GitHub，但有时这些代码可能包含访问凭据或其他敏感信息。

Montenegro称：“如果有人下载，他们就可获得你的秘密。开发人员可能会无意中摧毁你的基础设施。”

了解你的责任

为了最大限度地降低云安全威胁，企业IT团队首先需要知道其供应商的责任以及他们自己的责任。换句话说，他们需要熟悉其提供商的共同责任模型。

然而，企业的责任级别因云模型而异：SaaS、PaaS或IaaS。Enterprise Management Associates公司管理研究主管David Monahan表示，每种不同模型都会给客户带来额外的配置和安全负担。

想要了解有关SaaS、PaaS与IaaS部署中用户与提供商职责的更多信息，请查看此简短视频。

改善云安全的10条规则

(1)规则1：不要忽视开发人员的凭证

作为每天扫描数以百万计的公共和私人代码存储库的企业，再怎么强调健全的凭证策略的重要性也不为过。企业应该确保其开发人员至少只使用短期凭证，并最终投入所需的时间来完成一个完整的设置，其中包括管理(如保险库)和检测。而一位安全工程师说：“如果另一家公司的员工对我说，机密检测不是优先事项，我会问什么是更重要的优先事项，然后我会指出是采用快速的谷歌搜索，其中包含大量因泄露机密而发生的问题和数据泄露。”

这就是这一规则在这个规则列表中排名首位的原因。

(2)规则2：始终查看默认配置

云计算提供商预先配置了通用的访问控制策略。这些策略很方便，但经常会发生变化，因为正在引入新服务，它们不一定符合企业的需求。企业可以通过选择退出不必要或未使用的服务来减少网络攻击面。

(3)规则3：列出可公开访问的存储

很多人在新闻中了解到一些云存储被开放并公开访问的消息。无论企业为对象和数据选择哪种存储方法，需要检查是否只有预期的组件可以公开访问。

(4)规则4：定期审核访问控制

如上所述，云安全与企业的身份和访问管理策略一样强大。基于身份的安全系统逐渐占据主导地位，形成了所谓的“零信任”策略的基础。但就像其他事情一样，这些政策将被修改。实施最小特权原则是一个积极的过程，涉及微调对服务、系统和网络的访问。企业应该定期安排人工检查和自动检查并严格执行。

(5)规则5：利用网络结构

同样的规则也适用于网络：企业应该利用云计算提供商的控制来构建更好的、细粒度的策略来仔细划分流量。

(6)规则6：预防性记录和监控

如果没有强大的监控和日志记录，就无法实现良好的安全性。基于风险的日志记录策略是必须的，但最重要的是，企业应该确保警报不仅已启用且正常工作，而且是可操作的，而不是在安全事件发生后查看的内容。在理想情况下，企业应该能够通过API或其他机制在其日志系统上聚合云日志。

(7)规则7：丰富资产清单

使用供应商的API来减轻库存管理的艰巨任务固然不错，但是通过有关所有权、用例和敏感性的额外信息来丰富这一点会更好。企业需要在策略中考虑它。

(8)规则8：防止域名劫持

云服务和DNS条目之间经常存在传递信任。企业需要定期检查其DNS和云配置，以防止出现接管情况。

(9)规则9：灾难恢复计划不是可选的

云计算环境不会自动解决灾难恢复(DR)问题。企业考虑什么级别的投资适合其云计算环境中的灾难性事件，并且设计一个灾难恢复(DR程序以从外部帐户、提供商或语言环境中恢复。

(10)规则10：限制人工配置

利用云原生安全工具和控制意味着自动化。需要记住，漏洞源于错误配置，而错误配置就是一种错误。需要完成的人工工作越多，错误潜入的漏洞就越多。企业需要推动其团队实现更多自动化，尽可能使用安全即代码并逐步强制执行不变性(不再可能人工配置)。

结论

即使对于专家来说，云服务也很难管理，但它会一直存在。对于安全专业人员来说，这是一个特别大的挑战，因为责任范围不再是静态的，而是不断发展，以满足基础设施的需求和应对新的威胁。但这对企业来说也是一个激动人心的时刻，因为他们可以利用他们的独创性来构建非常有效的解决方案，利用现有的云计算提供商的工具集，在安全要求和灵活性之间取得平衡。以上提供了10条规则来构建更好的云安全性，企业也可以自己制定防护措施

避免云安全威胁以及导致错误配置的另一个方法是，遵循提供商的建议和最佳做法。