我们都知道，亚马逊S3数据泄露事件曾占据头条新闻，但导致该数据泄露的错误配置安全控制并非亚马逊独有的问题。事实上，错误配置可能给所有公共云平台带来风险，这意味着企业应该小心防范。

其中最大的云安全威胁来自对云访问控制和权限的不正确设置或配置。

451 Research分析师Fernando Montenegro表示：“第一个问题是没有正确保护访问凭证。”例如，特别是对于管理员，通常倾向使用不太安全的身份验证方法。

与内部数据中心相比，在云环境中，缺乏多因素身份验证（MFA）会使风险加剧。如果管理员在传统环境中使用弱强度密码，攻击者需要进入数据中心才能使用它。但在云端，攻击者可实现远程访问。

Montenegro称：“在云中未能使用多因素身份验证的后果是，如果有人获取你的root账号，那么可获得无限访问。他们可创建资源和新账户，这是非常严重的问题”。

共享并不安全

为避免云安全威胁，我们最好回到基础层面。Gartner公司分析师Jay Heiser表示，例如，企业应该对文件共享特别谨慎，这通常很容易被访问。他说，大多数组织使用大量的SaaS应用程序，并且，通常不知道哪些支持共享，因为这时常是临时决策。

这就是现在云访问安全代理（CASB，例如Skyhigh和Bitglass的代理）在企业中发挥重要作用的原因。 Heiser说，CASB已经变得很像防火墙，因为它们被视为基础保护工具。

他指出：“如果企业想要控制文件共享，CASB工具是最有效的方法。”

企业容易忽略的另一个风险涉及共享应用程序开发代码。现在常见做法是将代码放在共享站点，例如GitHub，但有时这些代码可能包含访问凭据或其他敏感信息。

Montenegro称：“如果有人下载，他们就可获得你的秘密。开发人员可能会无意中摧毁你的基础设施。”

了解你的责任

为了最大限度地降低云安全威胁，企业IT团队首先需要知道其供应商的责任以及他们自己的责任。换句话说，他们需要熟悉其提供商的共同责任模型。

然而，企业的责任级别因云模型而异：SaaS、PaaS或IaaS。Enterprise Management Associates公司管理研究主管David Monahan表示，每种不同模型都会给客户带来额外的配置和安全负担。

想要了解有关SaaS、PaaS与IaaS部署中用户与提供商职责的更多信息，请查看此简短视频。

遵循提供商最佳做法

避免云安全威胁以及导致错误配置的另一个方法是，遵循提供商的建议和最佳做法。

Montenegro称：“对于亚马逊数据泄露事故，我们会谈论AWS S3存储桶的问题，但其实这里也涉及人们不遵循提供商建议。”

所有主要云提供商都提供安全部署其资源的指南和文档，但用户并不总是遵循。例如，AWS已经推送最佳做法，例如不要对项目使用root帐户以及启用双因素身份验证，但是当企业优先考虑速度而非安全性时，他们通常会忽略这些建议。因此，请务必彻底检查云提供商的安全最佳实践，并尽可能多地应用它们。

Heiser称：“安全通常是能力问题，如果企业不知道他们在做什么，他们往往会做错事。”