人工智能驱动云安全合规性的关键

在云安全领域，一直强调责任共担。同时，也告诫我们不要把手伸的过长，守土尽责，守好自己的一亩三分。别自己的一亩三分地还没有耕耘好，老想着去别人碗里寻吃食。要知道，权责是对立统一的，想要权力，不想责任的人大有人在，但是这个明显是不合时宜的。另外，各单位也要考虑一点，法理上的责任主体是谁，千万别以为自己可以置身事外，做个甩手掌柜。特别是一些单位的信息部门，更应该理清自己的权责，该自己负责的不能推诿，否则可能给自己扣一个失职渎职的帽子。不该自己的责任也不接受，否则就可能成为背锅侠。

鉴于很多地方建设云平台时，某种意义上只是用了云功能的一部分，并未按照云安全服务能力要求去建设，以至于建成一个名义上的云平台，而实际是一个阉割版的云平台。在这时，可能云租户想要责任共担，也无法实现，因为云平台方本身就把责任共担这事想歪了，把自己底层的防火墙等同于云租户的虚拟防火墙。同样，云平台误导广大云租户，而在云租户落实相关合规时，要么产生巨大差距，要么产生大量存有水分的合规报告。这些都对真正的云安全埋下了隐患，结合近几年报道的一些演练结果，我们也发现常常出现大面积的网络安全漏洞风险，同时也存在一点突破全网沦陷的风险。

在风险共担这块，本身各个云租户应该有自己的防护策略，而云平台并未提供相应的功能或服务或产品，以至于都归集到云平台方的物理安全设备，一旦底层物理安全设备被攻破，那么云租户侧其实是几乎裸奔状态的。

伴随着人工智能的不断发展，云安全的压力将进一步提升，我们的云和云安全的标准要求，到底差距几何？其实，各方都门清，只是大家习惯了闭眼说瞎话罢了。

云计算的增长势头不减，但也带来了安全挑战。云计算应用的加速带来了更大的复杂性，市场上可用的云技术专业知识有限，联网和物联网 (IoT) 设备数量激增，对多云环境的需求不断增长。

当客户迁移到云时，由于许多应用程序在设计上并不安全，因此很有可能出现数据安全问题。当这些应用程序迁移到云原生系统时，配置设置中的错误可能会带来网络安全风险。在迁移过程中，实施客户工作负载的云安全控制会出现延迟，这会使问题更加严重。这就是为什么 Gartner 预测 ，到 2025 年，99% 的云漏洞将由配置错误引起，其中大部分将归因于本可以避免的人为错误。

云安全共担责任模型

根据成熟的 云安全共担责任模型，客户和云服务提供商对云安全负有共同责任。云服务提供商负责“云的安全”，而客户负责“云中的安全”。但客户的责任范围取决于消费模式。云平台方需要考虑云的安全，而云中的安全则由云租户负责。这个责任共担模型，并不是云租户需要承担平台方的责任，同时云平台方也不需要承担云租户的责任。但是现实中，则看云平台方如何管理，有很多单位在云平台与云租户管理过程中，是相当扭曲的。加之，各方利益纠葛的原因。云平台方的后面的组织，还希望做“半个”云租户，承建云租户的业务，自然这个责任共担将大部分云租户的责任，转移或转嫁到了云平台方，那么如何合法合规以及在有限条件下，把这个权责划分清楚，其实还是存在一定难度的。

在大多数情况下，云服务提供商的基础设施是安全的。但是，客户端数据安全问题（包括网络安全和工作负载问题）可能存在。当云安全设置配置不正确时，就会发生云配置错误，从而产生漏洞，外部黑客可以利用勒索软件或内部威胁行为者利用安全漏洞进行攻击。

了解合规性监控

一般而言，客户可以通过使用数据加密和定期审计来实施访问控制。他们还应建立合规计划，以解决与安全控制的持续协调问题。应实施云安全标准，以满足云服务需求，满足州和联邦政府发布的相关要求以及行业标准。此外，内部政策应为云安全提供关键的护栏。

了解云业务资产的云安全标准以及哪些额外的保护措施将有益于您的 IT 环境至关重要。持续管理云环境保护有助于持续取得成功。许多客户定期审核其云安全合规状况，结果却发现错误配置已悄然出现。人为错误通常是罪魁祸首，因此拥有一个持续的控制合规性监控解决方案来满足适用的云安全要求对于实时捕获这些错误配置至关重要。

使用人工智能来提高云安全性

随着世界开始将 生成式人工智能 (gen AI) 用于各种用例，我们有机会利用这项新兴技术来改善云中的网络安全保护。云安全标准是客户网络安全保护的重要组成部分。使用人工智能技术建立、监控和管理客户云资产中的云安全控制措施应旨在防止人为配置错误并提供云安全要求合规性报告。

通过使用人工智能建立持续控制监控能力，主要有三种方法可以改善云安全态势：

• 部署： 云安全标准可以通过人工智能进行转化，以实现保护性和侦探性云安全控制的无缝部署，从而提高生产力并满足此类要求。

• 管理： 可以训练人工智能模型来不断了解环境，为云安全态势控制提供最新的变化，并对任何检测到的问题做出快速反应。

• 威胁检测： 还可以训练 AI 模型来检测、关联和协调云安全标准与威胁，以及自动和半自动响应功能，以实现实时操作和分析。

点安全解决方案有助于管理客户的云态势管理，它们将继续成为客户可以利用的网络安全工具箱的一部分。但是，静态工具无法实时适应。相反，使用 gen AI 的持续控制监控解决方案被证明是理想的解决方案，客户 IT 环境符合最新的云安全标准，并且可以适应发生的错误配置偏差，自动纠正高风险暴露。

利用人工智能实现灵活的网络防御

由于持续控制监控解决方案是动态的和自我修复的，其功能应能加速部署符合客户政策的云安全控制。它还可以通过提供跨多个云提供商的云资产和活动的可见性来改善安全运营。同时，如果发生安全漏洞，AI 解决方案将通过行为分析、数据流和漏洞分析来识别威胁并加速调查。

如果使用得当，人工智能可以帮助推动更有效的网络安全控制，解决合规性问题并改善云端的整体网络风险管理和监督。

原文始发于微信公众号（河南等级保护测评）：人工智能驱动云安全合规性的关键