隨著云端能力的廣泛啟用，以及隨后組織網絡的快速生長，再趕上最近遠程辦公的興起，使得組織的攻擊面大規模擴散，直接導致了連接結構中日益增長的安全盲點。攻擊面管理會挖掘互聯網上的數據組以及證書庫，或者模擬攻擊者使用嗅探技術的方式。兩種方式的目的都是對組織在發現流程中能夠找到的資產進行一次全面的分析。兩種方式都包括掃描域名、子域名、IP地址、端口、影子IT等面向互聯網的資產，之后再進行分析，檢測是否存在漏洞或者安全缺口。高級的攻擊面管理包括可進行的緩解建議，修復發現的安全缺口；建議從未使用的或不必要的資產以減少攻擊面，到通知個人他們的郵箱存在隱患，可能成為釣魚攻擊的目標。攻擊面管理解決方案如果和像EDR那樣的響應型產品關聯，就更偏向于基于掃描能力；而如果包含在像擴展安全態勢管理這類的主動平臺，就更偏向于從掃描能力擴展到攻擊者的偵查技術和工具層面。

1)責任和數據風險：云服務可以完全控制或有限地控制使用者的數據。2)用戶身份聯合：數字身份是網絡安全的關鍵部分。

3)法規遵從性：即使我們通過互聯網獲得服務，我們的數據也被服務提供商物理地存儲在一個地方。

4)業務連續性和彈性：企業需要確保他們的業務在各種條件下運行。5)用戶隱私和數據的二次使用：一旦數據被轉移到云上，我們就再也無法控制它了。

6)服務和數據集成：在將敏感數據傳輸到云端的過程中，存在數據暴露的風險。

7)多租戶和物理安全：企業想要降低成本，多租戶是云提供商提供的一種選擇。

8)發生率分析和取證：當發生事故時，識別漏洞并管理它們是至關重要的。

9)基礎設施安全：基礎設施安全性至關重要，必須足夠好才能保護系統。提供商需要確保他們有一個強大的基礎設施，并經常審核他們的系統。

10)非生產環境暴露：應用程序并不只有一個環境。提供商在生產環境中發布代碼之前，可能會在兩個甚至更多的環境中測試。

近年來，網絡威脅正在成倍增加和升級。面對日益嚴峻的網絡安全態勢，人工智能中特別是尖端的機器學習方法已經開始應用到網絡防御領域，包括根據數據模式來開發用于防御網絡攻擊的預測模型等。這種人工智能方法可能非常有效，但卻使機器學習型系統容易受到錯誤和惡意干擾的影響，因此開發能夠防止欺騙性攻擊的穩固性機器學習型系統已迫在眉睫，但各種穩固性措施通常會削弱機器學習型系統的準確性。機器學習不僅具有自動檢測的潛力，還具有主動防御攻擊的潛力。從理論上講，機器學習可以通過動態調整來干擾或減輕攻擊。這種在準確性與穩固性之間權衡的過程中帶來了一個問題，例如，一套基于機器學習的防病毒系統通過不斷動態調整，以抵御不斷發展的惡意軟件攻擊，與此同時，開發人員可以細致地監管該系統，并加強其防范欺騙性攻擊的能力，但這樣又會妨礙該系統準確檢測出新的惡意軟件。

1. 基礎設施可信

可信計算指在計算的同時進行安全防護，使計算結果總是與預期值一樣，使計算全程可測可控，不受干擾。

2. 微隔離

微隔離技術能夠對東西向流量進行全面精細的可視化分析，并進行細粒度的安全訪問策略管理。目前微隔離一般包括網絡端口現狀梳理、端口分析、端口監控和處置功能。

3. 應用安全

云服務與外部服務進行交互時，應通過使用端口白名單、脆弱性檢測與安全加固、HTTP請求內容檢測及DNS安全等關鍵技術，確保云服務應用安全。

4. 數據安全

基于云平臺數據安全保護要求，應使用一定數據安全技術手段保障數據的機密性、完整性、可用性，典型手段包括數據脫敏、敏感數據自動識別、數據加密、日志審計等。

5. 基于零信任的接入控制

基于零信任的理念，對接入的用戶和設備進行聯合身份認證、信任持續評級和動態自適應訪問控制，并將審計結果作為信任評級的風險項，最終形成接入控制的閉環管理。

云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網絡訪問，進入可配置的計算資源共享池(資源包括網絡，服務器，存儲，應用軟件，服務)，這些資源能夠被快速提供，只需投入很少的管理工作，或與服務供應商進行很少的交互。

主要有三種系統類別：IaaS, PaaS, IaaS：

SaaS：傳統軟件用戶將其安裝到硬盤然后使用。在云中，用戶不需要購買軟件，而是基于服務付費。它支持多租戶，這意味著后端基礎架構由多個用戶共享，但邏輯上它沒每個 用戶是唯一的。

PaaS：PaaS將開發環境作為服務提供。開發人員將使用供應商的代碼塊來創建他們自己的應用程序。該平臺將托管在云中，并將使用瀏覽器進行訪問。

IaaS：在IaaS中，供應商將基礎架構作為一項服務提供給客戶，這種服務以技術，數據中心和IT服務的形式提供，相當于商業世界中的傳統“外包”，但費用和努力要少得多。主要目的是根據所需的應用程序為客戶定制解決方案。

云安全是基于云計算商業模式的安全軟件、硬件、用戶、機構安全云平臺的總稱。云服務因其總體架構、網絡部署、運維服務具有相似性，面臨著共性安全風險，以下從基礎設施、網絡部署、云上應用、運維服務四個方面進行安全風險分析。其中，基礎設施是指為云上應用提供運行環境的軟硬件及管理編排系統。

(1) 基礎設施安全風險

主要包括：物理環境及設備安全風險、虛擬化安全風險、開源組件風險、配置與變更操作錯誤、帶寬惡意占用、資源編排攻擊。

(2)網絡部署安全風險

主要包括：數據泄露、身份和密鑰管理、接入認證、跨數據中心的橫向攻擊、APT等新型攻擊。

(3)云上應用安全風險

主要包括：API接口安全、無服務器攻擊、DOS攻擊、跨租戶/跨省橫向攻擊、跨工作負載攻擊、云服務被濫用及違規使用、用戶賬號管理安全、核心網攻擊。

(4)運維服務安全風險

主要包括：管理接口攻擊、管理員權限濫用、漏洞和補丁管理安全、安全策略管理。

(1) 確保數據的機密性、完整性和可用性

制定可靠的政策為識別和降低數據機密性、完整性和可用性風險(稱為CIA 三元組)提供了一種標準化方法，并提供了對問題作出響應的適當步驟。

(2) 幫助將風險降至最低

信息安全策略詳細說明了組織如何發現、評估和緩解 IT 漏洞以阻止安全威脅，以及在系統中斷或數據泄露后用于恢復的流程。

(3) 在整個組織內協調和執行安全計劃

任何安全計劃都需要創建一個有凝聚力的信息安全策略。這有助于防止出現分歧的部門決策。該策略定義了組織如何識別不執行有用安全功能的無關工具或流程。

(4) 將安全措施傳達給第三方和外部審計師

編纂安全策略使組織能夠輕松地將其圍繞 IT 資產和資源的安全措施傳達給員工和內部利益相關者，還可以傳達給外部審計師、承包商和其他第三方。

(5) 幫助組織合規

擁有完善的安全策略，在國外審核安全標準和法規的合規性，在我國則落實網絡安全等級保護和關鍵信息基礎設施安全保護等。