随着云计算越来越多地包含企业应用程序、数据和流程，最终用户也有可能将其安全外包给提供商。

一项行业调查显示，许多企业越来越需要控制安全，而不是将最终责任交给云计算提供商。云安全联盟发布了对241名行业专家的调查，发现了一个“令人震惊的”云安全问题。

该调查的作者指出，今年许多最紧迫的问题都将安全责任推给了终端用户公司，而不是依赖于服务提供商。“我们注意到，在云服务提供商负责的传统云安全问题中，排名有所下降。拒绝服务、共享技术漏洞、CSP数据丢失和系统漏洞等问题在之前的“危险12”中都有提及，但现在评级很低，因此在本报告中被排除在外。这些遗漏表明，CSP责任下的传统安全问题似乎不那么令人担忧。相反，我们更多地看到了解决安全问题的需求，这些问题位于技术堆栈的更高层，是高级管理层决策的结果。”

这与福布斯洞察和VMware最近的另一项调查相一致，该调查发现，积极主动的公司正在抵制将安全转交给云提供商的诱惑——只有31%的领导者报告将许多安全措施转交给云提供商。(我参与了调查报告的设计和撰写。)尽管如此，94%的企业仍在某些安全方面采用云服务。

最新的CSA报告强调了今年的主要问题:

1. 数据泄露。“数据正成为网络攻击的主要目标。”该报告的作者指出。“定义数据的商业价值及其损失的影响对于拥有或处理数据的组织至关重要。”此外，他们补充说，“保护数据正在演变成谁可以访问它的问题。”“加密技术可以帮助保护数据，但会对系统性能产生负面影响，同时使应用程序变得不那么友好。”

2. 错误配置和不充分的变更控制。“基于云的资源是高度复杂和动态的，这使得它们的配置具有挑战性。传统的控制和变更管理方法在云计算中并不有效。”作者指出:“公司应该拥抱自动化，并采用能够持续扫描配置错误的资源并实时修复问题的技术。”

3.缺乏云安全架构和策略。“确保安全架构与业务目标和目的保持一致。开发和实施安全架构框架。”4. 身份、凭证、访问和密钥管理不足。“安全帐户，包括双因素认证和限制使用root帐户。对云用户和身份实施最严格的身份和访问控制。”5. 账户劫持。这是一个必须认真对待的威胁。“纵深防御和IAM控制是减轻账户劫持的关键。”6. 内部威胁。采取措施尽量减少内部人员的疏忽，有助于减轻内部人员威胁的后果。为您的安全团队提供培训，以便正确安装、配置和监控您的计算机系统、网络、移动设备和备份设备。”CSA的作者还敦促“定期的员工培训意识”。为你的正式员工提供培训，告诉他们如何处理安全风险，比如网络钓鱼和保护他们在公司以外的笔记本电脑和移动设备上携带的公司数据。”

7. 不安全的接口和api。“保持良好的空气污染指数卫生。良好的实践包括对诸如库存、测试、审计和异常活动保护等项目的勤勉监督。”此外，“考虑使用标准和开放的API框架(例如，开放云计算接口(OCCI)和云基础设施管理接口(CIMI))。”8. 弱控制平面。“云客户应该进行尽职调查，并确定他们打算使用的云服务是否拥有足够的控制平面。”9. 元结构和应用结构故障。“云服务提供商必须提供可见性和暴露缓解措施，以抵消云对租户固有的缺乏透明度的问题。所有csp都应进行渗透测试，并向客户提供结果。”10. 有限的云使用可见性。“降低风险始于自上而下开发完整的云可见性工作。要求在全公司范围内就公认的云使用策略及其实施进行培训。所有未经批准的云服务都必须经过云安全架构师或第三方风险管理部门的审查和批准。”11. 滥用和恶意使用云服务。“企业应该在云中监控员工，因为传统机制无法减轻使用云服务带来的风险。”