云安全主要关注如何搭配实施各种策略、流程和技术，以确保实现数据保护、支持法规遵从，并为用户和设备提供对隐私、访问和身份验证方面的控制措施。

云服务提供商 (CSP) 通常采用责任共担模式，这意味着，实现云计算安全既是云服务提供商的责任，也是您（即客户）的责任。您可以将该模式看作一个责任框架，用以界定哪些安全任务归云服务提供商负责，哪些又是客户的职责。请务必了解提供商与您的安全责任的界定，这对于构建弹性云安全策略而言至关重要。

一般来说，CSP 始终负责云及其核心基础设施的安全，而客户则应保护在云端运行的所有内容的安全，例如网络控件、身份和访问权限管理、数据和应用。

责任共担模式因服务提供商和您使用的云计算服务模式而异，具体而言，提供商管理得越多，他们就能保护得越多。

随着越来越多的公司从本地环境迁移到云端，必须重新考虑安全方法，尤其是在监管显微镜下的数据治理和合规性。

在当今日益发展的混合云和多云环境中，您比以往任何时候都有更多的自由来随时随地构建您的应用。但这也意味着，安全问题也变得复杂得多，绝不仅仅是阻止他人访问您的网络这么简单。遗憾的是，许多组织倾向于在发生安全问题之后再予以处理，并可能会放弃遵循最佳实践，转而追求实现更快的数字化转型。因此，攻击者认为基于云的目标可能是一个能够获得巨大收益的简单途径，并且正在相应地调整其策略以利用这些漏洞。

虽然云安全并不能保证全面防范攻击和漏洞，但精心设计的云安全策略可以在预防违规或减轻损害、提高合规性和建立更牢固的客户信任方面发挥很大作用。

云环境面临着您在传统环境中可能会遇到的类似安全风险，例如内部威胁、数据泄露和数据丢失、钓鱼式攻击、恶意软件、DDoS 攻击和易受攻击的 API。

然而，大多数组织都可能会面临特定的云安全挑战，包括：

云端资源是在公司网络外部的基础设施上运行，并由第三方拥有。因此，传统的网络可见性工具并不适合云环境，这使您很难监控所有云资产、这些资产的访问方式以及谁有权访问这些资源。

云安全设置配置不当是导致云环境中数据泄露的主要原因之一。云端服务旨在实现轻松访问和数据共享，但许多组织可能并不完全了解如何保护云基础设施。这可能会导致配置不当，例如保留默认密码、无法激活数据加密或权限控制管理不当。

由于云部署可以直接通过公共互联网进行访问，这使得任何人都可以从任何位置或设备方便地访问云部署。同时，这也意味着攻击者可以更容易地通过被盗凭据或不当的访问权限控制获取授权资源。  

您可以根据工作负载需求预配云资源并对其进行动态扩容或缩容。然而，许多旧的安全工具无法在这种柔性环境中实施政策，因为这些环境中不断变化的临时工作负载可能会在几秒钟内被添加或移除。

云技术增添了另一层法规遵从和内部合规性要求，即使您没有遇到安全事故，也可能会违反这些要求。在云端管理合规性是一个持续不断且棘手的过程。与可以完全控制数据及其访问方式的本地数据中心不同，企业很难以统一的方式识别所有云资产和控制措施、让它们与相关要求相对应并正确地记录所有内容。

• 身份和访问权限管理 (IAM)：借助 IAM 服务和工具，管理员可以集中管理和控制谁有权访问特定云端资源和本地资源。借助 IAM，您可以主动监控和限制用户与服务交互的方式，从而在整个组织中强制执行您的政策。
• 数据泄露防护 (DLP)：借助 DLP 功能，您可以自动发现和分类受监管的云端数据并对其进行去标识化处理，从而帮助您监控自己存储和处理的数据。
• 安全信息和事件管理 (SIEM)：SIEM 解决方案将安全信息和安全事件管理相结合，针对云环境中的各类威胁提供自动监控、检测和突发事件响应。借助 AI 和机器学习技术，SIEM 工具可以帮助您检查和分析跨应用和网络设备生成的日志数据，并在检测到潜在威胁时快速采取相应措施。
• 公钥基础架构 (PKI)：PKI 是使用数字证书管理安全加密信息交换的框架。PKI 解决方案通常会为应用提供身份验证服务，并验证数据在传输过程中是否未遭泄露且保持机密状态。借助云端 PKI 服务，组织可以管理和部署用于用户、设备和服务身份验证的数字证书。