企业上云面临的安全风险

随着网络数字空间的逐步发展，各区域、国家、行业的法律法规如GDPR、网络安全法逐步明确，无意识的违规轻则引起整改问责、重则涉及高额罚款。均会对企业业务开展带来较高风险。

网络攻击行为在过去数年发生了巨大的改变，传统以破坏系统为主的网络攻击行为，发展到现阶段将DDoS攻击、加密、撞库/搬库的技术用于勒索和灰色产业对抗的经济目的，更要求企业构建一套健全的安全运营系统，以保证系统的网络运营正常和业务安全。

传统IT建设过程中，企业往往将安全作为独立的体系构建。安全、合规部门通过规范流程、部署安全防护设备等方法对业务进行保护。在此过程中，安全、合规部门对业务的理解有一定的局限性，导致安全容易被视为是业务快速发展的瓶颈。

在过去，企业进行IT建设时，往往按照业务最大值计算服务器的建设规模。而云技术的到来，让企业完全可以以最小成本开通业务，弹性伸缩的特征让企业无需过度担心业务高峰期到来时的资源瓶颈。那么在这种情况下，用传统的安全软件，很难同步匹配业务的快速扩缩容

根据国内外调查，云上Top安全威胁中包括不安全的配置。因为云资源具备快速开通的特点，而且大多数云上应用采用DevOps开发，开发周期大量缩短。如果使用不安全的镜像、或云资源默认配置的访问权限过大都将产生严重后果。

传统企业安全部门和业务部门在技术上存在较厚的技术墙，双方在业务流上互相守护自己的业务范围，并不需要过多的共享。但是在公有云场景下，同一企业内不同系统的业务架构具备一定的相似性，甚至风险和消除风险的手段和云平台的方式都是类似的。那么这些技术是否可以共享？