企业迁移到云，好处多多：更大的灵活性、敏捷性、扩展性以及更具成本优势。但是，公有云基础设施也会放大安全风险和合规挑战。今天，Unit 42发布了最新报告《云安全趋势与提示：确保AWS, Azure以及Google云环境安全的主要体会》，在这个报告中，Unit 42对2018年5月末至9月初这一时间段内新出现的和已经存在的威胁进行了梳理，并提醒企业如何做才能实现风险与效率的最佳平衡。

报告中主要涉及的话题包括，

 账户攻击的规模与速度上升：Unit 42 研究显示，29%的组织面临潜在的账户攻击风险，27% 允许根用户活动，41%在最近90天内没有修改过接入密钥。凭证攻击变得更加普遍，组织需要切实加强在监管与接入习惯方面的工作。企业运营应该把账户攻击考虑在内，开展监测工作，以便于快速检测可疑用户行为并做出快速响应。

 合规工作任重而道远： 数据更能说明问题：32%的组织其云存储服务至少暴露过一次，49%的数据没有加密，32%的组织没有通过GDPR合规验证，而合规问题则是当今全球运营环境里最为关注的部分。人们很早就知道，风险资源配置会导致大型泄露事件。尽管有迹象表明对云存储服务的保护相比以前要好很多，但随着《通用数据保护条例》和《加州消费者隐私法》的有力执行，许多组织在云环境全面合规和监管方面仍旧有相当多的工作要做。

 挖矿型网络攻击渐趋降温： Unit 42 发现 11%的组织都在其环境里遭受过挖矿攻击，虽然依旧严重，但总比五月份报告的25%要好很多。超过四分之一(26%) 的组织不会限制其出站流量，有28%的组织不会限制接收来自互联网的入站数据。显然，加密货币的价值在逐渐减小，再加之以更好检测功能的投入使用，挖矿攻击日渐减少，给人们提供了一个绝好机会，可以在下一波攻击到来之前启用更好的反制措施。

 漏洞管理，势在必行：正如今年早些时候，Spectre 和 Meltdown两个处理器漏洞引起业务崩盘一样，最近的漏洞包括L1 Terminal Fault 和Apache Struts 2中远程代码执行(Remote Code Execution, RCE)缺陷正在影响着Intel处理器的性能，给人们带来了烦恼：有23% 的组织没有对云中主机的关键补丁进行过修补。云服务提供商通过对基础设施和服务两方面升级来提供第一线防御，而客户则应该识别主机漏洞并对其打补丁，这些如果只使用漏洞扫描工具是不能独立完成的，因为这些工具的设计不是针对云基础设施。

 为容器模式提供保护：无疑容器技术正在被大量采用，有三分之一的组织正在使用原生或者托管的Kubernetes 编排技术，有四分之一的组织使用包括Amazon Elastic Container Service for Kubernetes (EKS) , Google Kubernetes Engine (GKE), 以及Azure Kubernetes Service (AKS) 在内的云托管服务。这类平台可以帮助开发者更加容易地对容器化应用进行部署、管理和扩展。Unit 42 报告发现，有46% 的组织可以接收来自全部源头的流量到Kubernetes Pod，有15%的组织不会使用身份识别和访问管理(Identity and Access Management, IAM)策略来控制对Kubernetes instances的访问。从这点来看，组织需要采用网络策略来隔离pod并强制执行访问控制。

如欲了解更多安全趋势以及可行性建议来保护您的云环境，敬请点击以下链接下载Unit 42报告《云安全趋势与提示：确保AWS, Azure以及Google云环境安全的主要体会》https://researchcenter.paloaltonetworks.com/2018/12/unit-42-cloud-security-trends-tips/