公共云已经成为企业基础设施战略和创新交付的主要支撑。云计算的自助服务访问、弹性、可扩展性、快速部署以及以很少的前期成本访问新的基础设施和服务,加快了向市场的交付,并迅速被企业采用。
但采用公共云也带来了安全风险。多租户意味着攻击面增加。即使是简单的迁移,如果没有重构或适当的治理或基础设施加固,也可能导致不受约束的支出、不安全和不合规的工作负载,以及潜在的安全漏洞风险。简单地说,打开云账户并不等于数字化转型。新的治理方法、新的协作模式和新的工作方式是成功采用云计算的基础。
随着新的云技术和服务的引入,云计算策略不断变化和发展,因此,五年前的云安全策略已经过时了。首席信息安全官们发现,他们的业务使用云的方式就像车轮上的门柱一样不断变化。云安全也必须以这种速度发展。
以下是首席信息安全官在2025年需要注意的一些最关键的云趋势:
•保护云中的人工智能。生成式人工智能的冲击意味着首席信息安全官组织也不得不转向。黑盒人工智能模型缺乏透明度,易受偏见影响,道德考虑,可以利用开源模型的威胁行为者,以及拥有大量数据的人工智能模型,极大地增加了组织的攻击面。首席信息安全官应该解决以下三个问题:1)审查云管理人工智能服务的安全控制和治理;2)约定云提供商和你的安全团队之间的安全角色和责任;3)提高安全和更广泛的云基础设施团队的人工智能能力,以确保这些新服务的安全。
•云可持续性的工作负载安置。欧盟新的可持续发展报告要求迫使企业关注他们的碳足迹。北美公司也纷纷效仿。满足可持续性需求的一种方法是将工作负载放在更具可持续性的可用性区域中。例如,这可能涉及到确保由太阳能或其他可再生能源供电的可用区优先于由燃气发电厂供电的可用区。云计算团队依靠云管理解决方案和碳足迹数据来确定工作负载的位置。工作负载安置建议通常只考虑两个潜在的角度:最低成本或最低碳足迹。ciso可能会发现这些问题超过了数据主权问题,或者在没有必要的安全控制的情况下将数据转移到可用区域。首席信息安全官需要询问他们的数据将驻留在哪里,并实现对敏感数据的控制,以避免打破安全需求的工作负载管理解决方案自动移动。
•主权和监管要求。近年来,新的主权要求,如法国的SecNumCloud、Clouddeconfy和德国的云计算合规控制目录(C5),以及将数据保存在国内的推动,创造了对私有云和主权云的更广泛推动。特别是,欧盟和亚太地区国家一直试图更多地利用非美国的云提供商,创建主权云,或将工作负载留在本地。澳大利亚政府宣布投资20亿澳元用于一个绝密的政府云。沙特阿拉伯的2030年愿景引入了严格的数据主权措施。在这样的环境中操作的ciso知道他们需要满足这些主权和法规指令,但必须在这与允许更广泛的IT团队交付业务需要和想要的功能之间取得平衡。ciso应该专注于确保他们了解哪些数据类型需要主权云服务,以怀疑的态度审查一些超大规模企业关于主权的声明,并寻求只保护需要这种保护的数据,以保持业务的稳定。
