云安全界限不清企业怎么办

云计算为消费级应用服务了10年，为企业级应用也服务了多年，可是很多企业还处于摸不清云计算安全边界的状态，致使一旦发生云安全事件，企业与云服务提供商之间往往相互推诿责任，终遭殃的却是隐私数据外泄的普罗大众。

上云后数据并不会更安全

如果追溯到十年前，当公有云厂商开始教育用户，上云如何如何安全之时，相信很多企业都在担心自己的数据一旦上云，自己就“够不到”、“掌控不了了” ，也成为当时阻碍企业上云的大顾虑。可是随着云计算持续发展及应用普及，现在上云已非常普遍，也让不少企业产生了一种错觉，那就是上云是安全的，但实际上，企业数据却多了几把开库的钥匙。

当企业数据从私有云环境进入到公有云环境，甚至在混合云、多云环境下游走时，任何一点疏漏都能引发数据泄露事件的出现。这时企业必须要清楚哪些内容、业务要上云，以及上什么云。因为上云后并不会让数据变得更安全，只会扩大其受攻击面。

云安全事件相互推诿

“既然我买了你的云服务，难道不该你来负责我的数据安全吗?”，相信对于这个论断有很多企业都会大点其头。可事实上不管国内国外，即便企业选择的是云服务提供商的公有云，但对于云上的安全问题依旧是企业自己负责，云服务商并不会为企业在公有云上的任何安全事件负责。一般来说，云服务商都会说，“我们的云很安全，出了问题那是你用的不对……”

那么真相究竟是怎样呢?Gartner就曾针对一些动辄丢失几亿条数据的大型云安全事件进行过调研，发现这些企业并不是因为云服务商本身的安全问题而导致数据泄露，反而是几乎所有的云安全事件终的问题都是由企业自己导致的，比如说配置上的错误等等，而类似事情可谓屡见不鲜了。比如今年7月29日美国大银行Capital One证实遭骇客入侵，超1亿用户数据外泄就是由于其云防火墙配置错误引发的。

云安全与传统安全的差异

那么对于云安全来说，其与传统安全究竟有哪些差异呢?可以根据环境分现代化基础设施和传统基础设施两个方面来看。首先，基于云的现代化基础设施一定要包括高度定制的虚拟化环境，如今的私有云环境和公有云环境，都已属于现代化基础设施范畴。另外基于云的现代化基础设施还要至少具备标准化、规范化、自动化、少人工介入这四个底层的能力特性。

其次，基于云的现代化基础设施在谈安全时，必须能够提供完整的数据留存，包括通过API驱动，能够实现高度的协同，不同的基础设施组建，公有云服务上提供的组件，然后还有在云上部署的安全产品，也可以进行高度的契合。因为数据完整才能够进行溯源，进而实现快速检查和发现的能力，同时辅以协同效力，终就达到对攻击的分钟级检测和响应。然而上述这些在传统环境里，能达到天级都已经算是一个了，对于传统安全来说基本是不可能一天两天就能发现并且响应的。