随着云端能力的广泛启用，以及随后组织网络的快速生长，再赶上最近远程办公的兴起，使得组织的攻击面大规模扩散，直接导致了连接结构中日益增长的安全盲点。攻击面管理会挖掘互联网上的数据组以及证书库，或者模拟攻击者使用嗅探技术的方式。两种方式的目的都是对组织在发现流程中能够找到的资产进行一次全面的分析。两种方式都包括扫描域名、子域名、IP地址、端口、影子IT等面向互联网的资产，之后再进行分析，检测是否存在漏洞或者安全缺口。高级的攻击面管理包括可进行的缓解建议，修复发现的安全缺口；建议从未使用的或不必要的资产以减少攻击面，到通知个人他们的邮箱存在隐患，可能成为钓鱼攻击的目标。攻击面管理解决方案如果和像EDR那样的响应型产品关联，就更偏向于基于扫描能力；而如果包含在像扩展安全态势管理这类的主动平台，就更偏向于从扫描能力扩展到攻击者的侦查技术和工具层面。

1)责任和数据风险：云服务可以完全控制或有限地控制使用者的数据。2)用户身份联合：数字身份是网络安全的关键部分。

3)法规遵从性：即使我们通过互联网获得服务，我们的数据也被服务提供商物理地存储在一个地方。

4)业务连续性和弹性：企业需要确保他们的业务在各种条件下运行。5)用户隐私和数据的二次使用：一旦数据被转移到云上，我们就再也无法控制它了。

6)服务和数据集成：在将敏感数据传输到云端的过程中，存在数据暴露的风险。

7)多租户和物理安全：企业想要降低成本，多租户是云提供商提供的一种选择。

8)发生率分析和取证：当发生事故时，识别漏洞并管理它们是至关重要的。

9)基础设施安全：基础设施安全性至关重要，必须足够好才能保护系统。提供商需要确保他们有一个强大的基础设施，并经常审核他们的系统。

10)非生产环境暴露：应用程序并不只有一个环境。提供商在生产环境中发布代码之前，可能会在两个甚至更多的环境中测试。

近年来，网络威胁正在成倍增加和升级。面对日益严峻的网络安全态势，人工智能中特别是尖端的机器学习方法已经开始应用到网络防御领域，包括根据数据模式来开发用于防御网络攻击的预测模型等。这种人工智能方法可能非常有效，但却使机器学习型系统容易受到错误和恶意干扰的影响，因此开发能够防止欺骗性攻击的稳固性机器学习型系统已迫在眉睫，但各种稳固性措施通常会削弱机器学习型系统的准确性。机器学习不仅具有自动检测的潜力，还具有主动防御攻击的潜力。从理论上讲，机器学习可以通过动态调整来干扰或减轻攻击。这种在准确性与稳固性之间权衡的过程中带来了一个问题，例如，一套基于机器学习的防病毒系统通过不断动态调整，以抵御不断发展的恶意软件攻击，与此同时，开发人员可以细致地监管该系统，并加强其防范欺骗性攻击的能力，但这样又会妨碍该系统准确检测出新的恶意软件。

1. 基础设施可信

可信计算指在计算的同时进行安全防护，使计算结果总是与预期值一样，使计算全程可测可控，不受干扰。

2. 微隔离

微隔离技术能够对东西向流量进行全面精细的可视化分析，并进行细粒度的安全访问策略管理。目前微隔离一般包括网络端口现状梳理、端口分析、端口监控和处置功能。

3. 应用安全

云服务与外部服务进行交互时，应通过使用端口白名单、脆弱性检测与安全加固、HTTP请求内容检测及DNS安全等关键技术，确保云服务应用安全。

4. 数据安全

基于云平台数据安全保护要求，应使用一定数据安全技术手段保障数据的机密性、完整性、可用性，典型手段包括数据脱敏、敏感数据自动识别、数据加密、日志审计等。

5. 基于零信任的接入控制

基于零信任的理念，对接入的用户和设备进行联合身份认证、信任持续评级和动态自适应访问控制，并将审计结果作为信任评级的风险项，最终形成接入控制的闭环管理。

云计算是一种按使用量付费的模式，这种模式提供可用的、便捷的、按需的网络访问，进入可配置的计算资源共享池(资源包括网络，服务器，存储，应用软件，服务)，这些资源能够被快速提供，只需投入很少的管理工作，或与服务供应商进行很少的交互。

主要有三种系统类别：IaaS, PaaS, IaaS：

SaaS：传统软件用户将其安装到硬盘然后使用。在云中，用户不需要购买软件，而是基于服务付费。它支持多租户，这意味着后端基础架构由多个用户共享，但逻辑上它没每个 用户是唯一的。

PaaS：PaaS将开发环境作为服务提供。开发人员将使用供应商的代码块来创建他们自己的应用程序。该平台将托管在云中，并将使用浏览器进行访问。

IaaS：在IaaS中，供应商将基础架构作为一项服务提供给客户，这种服务以技术，数据中心和IT服务的形式提供，相当于商业世界中的传统“外包”，但费用和努力要少得多。主要目的是根据所需的应用程序为客户定制解决方案。

云安全是基于云计算商业模式的安全软件、硬件、用户、机构安全云平台的总称。云服务因其总体架构、网络部署、运维服务具有相似性，面临着共性安全风险，以下从基础设施、网络部署、云上应用、运维服务四个方面进行安全风险分析。其中，基础设施是指为云上应用提供运行环境的软硬件及管理编排系统。

(1) 基础设施安全风险

主要包括：物理环境及设备安全风险、虚拟化安全风险、开源组件风险、配置与变更操作错误、带宽恶意占用、资源编排攻击。

(2)网络部署安全风险

主要包括：数据泄露、身份和密钥管理、接入认证、跨数据中心的横向攻击、APT等新型攻击。

(3)云上应用安全风险

主要包括：API接口安全、无服务器攻击、DOS攻击、跨租户/跨省横向攻击、跨工作负载攻击、云服务被滥用及违规使用、用户账号管理安全、核心网攻击。

(4)运维服务安全风险

主要包括：管理接口攻击、管理员权限滥用、漏洞和补丁管理安全、安全策略管理。

(1) 确保数据的机密性、完整性和可用性

制定可靠的政策为识别和降低数据机密性、完整性和可用性风险(称为CIA 三元组)提供了一种标准化方法，并提供了对问题作出响应的适当步骤。

(2) 帮助将风险降至最低

信息安全策略详细说明了组织如何发现、评估和缓解 IT 漏洞以阻止安全威胁，以及在系统中断或数据泄露后用于恢复的流程。

(3) 在整个组织内协调和执行安全计划

任何安全计划都需要创建一个有凝聚力的信息安全策略。这有助于防止出现分歧的部门决策。该策略定义了组织如何识别不执行有用安全功能的无关工具或流程。

(4) 将安全措施传达给第三方和外部审计师

编纂安全策略使组织能够轻松地将其围绕 IT 资产和资源的安全措施传达给员工和内部利益相关者，还可以传达给外部审计师、承包商和其他第三方。

(5) 帮助组织合规

拥有完善的安全策略，在国外审核安全标准和法规的合规性，在我国则落实网络安全等级保护和关键信息基础设施安全保护等。