theNet by Cloudflare

多个司法管辖区背景下的多云合规

迷雾笼罩的云:不确定的风险,将加剧不良后果

云既带来机遇,也带来风险;对于大多数企业而言,机遇仍然远远超过风险。但是,大部分风险来源于潜在的合规方面的违规行为,即:数据存储、访问、更改或泄露的风险,导致企业无法遵守日益复杂的数据保护和隐私监管框架

更糟糕的是,许多 IT 和安全专业人员甚至无法预见这些风险可能存在的位置。随着数据和工作负载分散在多个云平台(绝大多数企业都是如此),可见性也变得更加困难。已经变得更像是一种迷雾,掩盖了潜在的合规风险。与此同时,国际组织必须遵守的司法管辖区要求却成倍增加。

事实证明,安全框架不足以管理这些合规风险,因此,IT 团队和合规官需要采用一种新方法,让他们能够识别并缓解云中的违规行为,防范此类行为的发生。

云合规的多重挑战

如果云托管的数据被泄露给未经授权的人员,企业将面临失去客户信任、声誉受损、监管机构的潜在审查,以及其他负面后果。在最坏的情况下,如果监管机构认为企业没有采取合理的措施来保护数据,则企业可能会因数据泄露事件而被罚款。

此类数据泄露事件是如何发生的?可能有多种方式,例如社会工程学攻击、访问控制措施不足、外部恶意方直接泄露数据。不过,云环境带来了独特的障碍和挑战,导致数据泄露难以避免。特别是,由于云提供商和云客户共同承担安全责任,因此,错误配置是一个主要风险。

云部署中无意识的人为错误(称之为错误配置)是云数据面临的最大风险之一。意外暴露在公共互联网上的公共云部署或其他错误配置,可能会导致重大数据泄露,例如 2020 年发生的 Twilio 数据泄露事件

云配置错误不断增加。越来越多的企业过渡到云平台,攻击面随之扩大,从而增加了因错误配置资源而导致的安全风险。Gartner 报告指出,“到 2027 年,云环境中 99% 的记录泄露均因用户配置错误和账户入侵造成,而不是云提供商的问题造成。”

通常情况下,只有在错误配置已经造成影响之后,人们才会发现问题。这是因为许多广泛应用的云安全解决方案,例如云安全态势管理 (CSPM) 或者云原生应用保护平台 (CNAPP) 服务是在事后发现问题,而不是在 DevOps 团队设置这些服务时发现。事后检测会发出警报,而这些警报可能需要一段时间才能修复,导致云资源暂时泄露。

当企业意识到自身不合规或因错误配置而受到攻击时,可能为时已晚。

说到云中数据的安全性、完整性和合规性,还面临许多其他挑战,包括:

  • 数据外泄:无论其位于云中还是本地,数字资产为恶意方提供了各种攻击手段。然而,多云部署会带来额外的威胁,因为物理基础设施不在企业的直接管辖和责任范围内。从简单的社会工程学攻击到高度自定义的漏洞利用,攻击者可以使用多种方法从云中提取数据

  • 多租户:许多企业之间会共享公共云服务,而保护公共云安全是云提供商和云客户的共同责任。研究表明,如果不强制执行安全边界,则可能会意外地与其他云租户共享云托管数据。

  • 影子云基础设施:企业经常会有一些被遗弃或遗忘的云实例。在企业转型、变革和扩展,以及角色和职责调整过程中,这种情况会自然发生。当出于好意的员工为了完成本职工作而擅自处理问题,却违反了已获批准的 IT 流程时,也可能会发生这种情况。结果可能是影子辅助多云基础设施既无人问津又不受安全策略保护,但其中包含敏感信息。

这些云合规和安全挑战,对企业产生了实时影响。CrowdStrike 在其《云风险报告》中指出,云漏洞利用攻击增加了 95%。而攻击者直接攻击公共云服务的示例增幅更大,达到了 288%。此外,该报告发现,平均需要花费 207 天来识别此类数据泄露事件,更不用说遏制此类攻击行为。

云安全问题依然存在,让企业持续面临风险。这将成为确保监管合规、财务状况良好以及企业整体安全的定时炸弹。这种情况下的财务风险也很高,因为仅欧盟《通用数据保护条例》(GDPR) 征收的罚款就可能高达 2000 万欧元或企业全球年收入的 4%,以较高者为准。

多个司法管辖区的全球环境

更重要的是,每个司法管辖区都有各自的法规。全球范围内,为保护数据所需采取的安全和隐私措施各不相同。一些主要法规包括:

  • GDPR 和 NIS2 指令,有权管理欧盟居民数据

  • 《数字个人数据保护法》(DPDP),监管印度的个人数据

  • 美国则有各州或特定行业适用的法规(例如 CCPAHIPAA

  • PCI DSS 等行业法规,控制个人支付数据的处理方式

确保所有云实例符合所有相关监管框架,这是一项几乎不可能通过人工完成的任务。如果企业尝试进入新市场,这可能还会阻碍业务拓展。

最后,如果不对所有数据和系统进行定期审计,则难以证明是否合规,而当企业依赖跨多个云提供商的多云部署时,证明合规颇具挑战性。

内联云安全解决方案

我们需要采用一种预防性方法。由于不可能提前预测并防范所有风险和错误,因此,应该在部署云实例时采用预防性方法(以内联安全和合规检查的形式),而不是在已经发生错误后才采用这种方法。应该自动跟踪和缓解错误,并自动(而不是手动)执行合规检查。

Cloudflare 恰好将这种类型的内联云安全检查融入其平台,为客户提供服务。Cloudflare 通过自动评估并强制执行安全配置来简化客户的云安全合规流程,帮助客户确保强大的安全性以及符合最常见的监管框架要求。Cloudflare 会检查云 API 流量,提高企业的可见性并提供精细化控制,让企业能够采取积极主动的方法来降低风险和管理云安全态势。

Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。

关键要点

阅读本文后,您将能够了解:

  • 云计算安全和合规风险

  • 为什么使用多云基础设施可能导致配置错误

  • 实现跨多云和多个司法管辖区数据合规的潜在解决方案

相关资源

深入探讨这个话题

阅读《保护和连接应用服务的三大挑战》白皮书,进一步了解如何保护云应用服务

接收有关最流行互联网见解的每月总结。

订阅 theNET

入门

解决方案

支持

合规性

公共利益

公司

© 2025 Cloudflare 公司隐私政策使用条款报告安全问题信任与安全商标