8. 云安全也与身份管理有关

在云中，许多服务通过API调用相互连接，要求对安全性进行身份管理，而不是基于IP的网络规则、防火墙等。例如，使用附加到lambda接受其服务标识的角色的策略来完成从lambda到S3存储桶的连接。身份和访问管理（IAM）以及类似的服务都是复杂的，其功能丰富。

9.对云计算的威胁的性质是不同的

糟糕的参与者使用代码和自动化来查找云计算环境中的漏洞并加以利用，自动化威胁将始终超过人工或半人工的安全防御。企业的云安全必须能够抵御当今的威胁，这意味着它们必须涵盖所有关键资源和策略，并在没有人工参与的情况下自动从这些资源的任何错误配置中恢复。这里的关键指标是关键云计算配置错误的平均修复时间（MTTR）。如果以小时、天、周来衡量，那么还有工作需要做。

10.数据中心安全性在云中不起作用

到目前为止，人们可能已经得出结论，在数据中心中工作的许多安全工具在云中没有多大用处。这并不意味着企业需要抛弃一直在使用的所有东西，但要知道哪些仍然适用，哪些已经过时。例如，应用程序安全性仍然很重要，但依靠跨度或点击来检查流量的网络监视工具不会因为云计算服务供应商不提供直接网络访问。企业需要填补的主要安全漏洞与云计算资源配置有关。

11.云中的安全性可以更容易、更有效

由于云计算是可编程的并且可以实现自动化，这意味着云中安全性可以比数据中心更容易、更有效。

监控配置错误和偏差的情况可以完全实现自动化，企业可以为关键资源使用自我修复基础设施来保护敏感数据。在配置或更新基础设施之前，企业可以运行自动化测试来验证作为代码的基础设施是否符合其企业安全策略，就像企业保护应用程序代码一样。这让开发人员可以更早地了解是否存在需要修复的问题，并最终帮助他们更快地行动，并不断创新。

12.在云中，合规性也可以更容易、更有效

这对合规性分析师也是好消息。传统的云计算环境人工审计的成本可能非常高昂，容易出错且耗时，而且在完成之前它们通常已经过时。由于云计算是可编程的，并且可以实现自动化，因此也可以进行合规性扫描和调查报告。现在可以在不投入大量时间和资源的情况下，自动执行合规性审计并定期生成报告。由于云计算环境变化如此频繁，超过一天的审计间隔可能太长。

从哪里开始使用云安全性

（1）了解开发人员正在做什么

他们使用的是什么云计算环境，他们如何通过帐户（即开发、测试、产品）分离问题？他们使用什么配置和持续集成和持续部署（CI/CD）工具？他们目前正在使用任何安全工具吗？这些问题的答案将帮助企业制定云计算安全路线图，并确定需要关注的理想领域。

（2）将合规性框架应用于现有环境

识别违规行为，然后与企业的开发人员合作以使其符合规定。如果企业不遵守HIPAA、GDPR、NIST 800-53或PCI等合规制度，则采用互联网安全中心（CIS）基准。像AWS和Azure这样的云计算提供商已经将其应用到他们的云平台，以帮助消除他们如何应用于企业正在做什么的猜测。

（3）确定关键资源并建立良好的配置基线

不要忽视关键细节。企业与开发人员合作，确定包含关键数据的云计算资源，并为他们建立安全的配置基线（以及网络和安全组等相关资源）。开始检测这些配置偏差，并考虑自动修复解决方案，以防止错误配置导致事故。

（4）帮助开发人员更安全地开展工作

通过与开发人员合作，在软件开发生命周期早期（SLDC）中加入安全性，实现“左移”。DevSecOps方法（例如开发期间的自动策略检查）通过消除缓慢的人工安全性和合规性流程来帮助保持创新的快速发展。

有效且具有弹性的云安全态势的关键是与企业的开发和运营团队密切合作，以使每个成员都在同一页面上并使用相同的语言沟通。而在云中，安全性不能作为独立功能运行。