前言
云上安全合规建设的挑战
随着数字经济的蓬勃发展,在商业世界中越来越多企业拥抱云计算,这一趋势在全球范围内尤其明显。而在中国,政府也高度重视云计算技术在数字中国建设过程中的作用。在云计算建设、技术、安全和管理等方面颁布了一系列支持政降。商业机构可以通过使用云计算技术,优化资源使用效率,提升技术投入产出,更好支持数字化转型进程
与此同时,在云计算技术提供巨大优势的同时,也带来了重大挑战,包括复杂的安全性管理、不断变化的合现性要求以及日益严峻的云安全威胁形势。在监管合规方面,中国监管对于云计算安全合规制定了一系列法律、法规、行业标准和技术规范,在法律层面,《网络安全法》、《数据安全法》以及《个人信息保护法》分别对于云平台基础设施安全、云环境中的数据安全和隐私保护等提出了明确要求,而在政懂法规和标准指南方面,包括《信息安全技术—云计算服务安全指南》、《信息安全技术—云计算服务安全能力要求》和《云计算服务安全评估办法》等也明确对提供和使用云计算技术的各方提出了具体安全合规要求和指引,包括适当的技术和组织管理描施来确保云安全合规。
而另一方面,云计算相关的网络攻击数量近几年明显增加,2023年云相关的网络攻击增加48%,平均每家企业每周遭受超过1000次的云端攻击,79%的企业至少经历一次云安全事件,而识别和控制云环境中的数据泄露平均需要277天。而在应对和响应云环境下的安全事件,也远比在传统自建数据中心的模式下,对企业的挑战更大,尤其是在云环境快速变化、新技术和服务不断涌现以及越来越多企业使用多云环境的大背景下。
虽然越来越多的企业开始关注井部薯不同厂商的安全工具来解决云环境下的安全和合规问题,但一方面这些工具缺乏互联互通难以实现统一的安全管理,对安全策略的集中管理和自动化执行带来了很大排战;另一方面,云服房具有高度的灵活性,用户可以根据需求随时创建和删除资源,这也使得安全策略难以实施和管理,而云环境中存在大量的API接口和自动化工具,攻击者也可以轻松利用这些接口开展攻击井快速在云环境中模向移动以扩大攻击范围。这使得企业在云安全建设中需要投入大量的资金来应对这些安全痛点,同时还常要对安全人员进行相应的培训和认证,所有这些都极大增加了企业内部的安全成本,但很多时候仍无法有效控制云安全风险。
为了更好应对以上云上安全合规建设的诸多搞战,ISACA中国联合亚马逊云科技,共同开发了本自皮书,以亚马逊云科技的原生安全服务为例,以提供云安全建设最佳实践思路为切入点,聚焦云治理、管理和技术手段相结合的建设思路,相助云安全领域的从业人员在企业内部开展云安全合规建设过程中,明确安全责任并制定清晰的云安全责任共担模型,建立完善的云安全管理体系包活云安全策略、请程和标准等,优先采用云原生安全方法和工具,将安全融入到云应用的整个生命周期。重点解决云环境中的数据泄露风险、权限管理痛点、事件响应难点以及合规基线配置有效落地等具体问题。
本文来自知之小站
PDF报告已分享至知识星球,微信扫码加入立享3万+精选资料,年更新1万+精选报告
(星球内含更多专属精选报告.其它事宜可联系zzxz_88@163.com)
