清点云使用情况

为大中型公司提供咨询的CISO Ian Poynter建议，应对云中数据威胁的最佳方法，是在任何涉及公共云服务的新计划的规划阶段，将云应用程序纳入控制并进行风险评估。CISO之间的共识是，用户的云实例并非都是获得授权的，而且很少针对公开数据进行有效地监控。这也是CISO需要成为执行团队成员的原因所在。他们需要这个权限去了解正在发生的事情，并且还要一个协作环境，在这样的环境中，业务经理能够直接与他们进行沟通，共享其正在运行的新项目或产品，然后让他们对其中涉及的云产品进行评估。

就一家公司而言，CISO甚至可以向财务发出警告，告知其哪些第三方云应用程序和平台可以报销。如果业务部门或个人用户在未经事先批准的情况下购买了报销范围以外的产品，则可以直接拒绝他们的报销申请。

这是强制执行云应用程序白名单的手动方式，但无疑也是有效的方式。云应用程序白名单和黑名单通常也是部署在公司控制的端点上，或通过零信任技术(例如浏览器隔离)来控制用户、企业和云应用程序之间的远程会话的强大技术控制。

应用云原生安全产品

Johnson建议，在组织已标准化的成熟云服务和应用程序中利用云原生安全产品。例如，应用AWS Inspector评估正在使用的应用程序的配置合规性，以及应用Amazon GuardDuty来检测恶意活动和未经授权的行为。采购产品之前，企业组织需要竭尽所能地对云提供商的声誉进行尽职调查，并尽量避开一些小的提供商。越大的提供商通常会在数据保护和可见性控制方面做得更好。

服务模型之间的原生安全性会有所不同。IaaS和PaaS供应商为购买者在其基础架构或平台中升级的应用程序提供安全性和配置工具。这些一般是本地提供的或是通过第三方付费提供的。对于SaaS应用程序(例如DocuSign、Slack或Box)而言，安全性多数是原生的。例如，Microsoft 356为Exchange、SharePoint和Azure(以及其他安全产品)Active Directory提供高级审核。

通过研究Box公司的cloud enterprise，我们可以窥见出入第三方提供商的敏感数据的处理方式。Box管理着多个应用程序，以支持工作流程、数字合同、HR、Zoom会议、历史数据存储、HR加载和其他HR功能。用户通过Box Shuttle将Box连接到其他云服务(例如具有完整数据传输功能的Facebook Workplace)时，Box中便出现了云。

Box安全、隐私和合规性产品副总裁Alok Ojha表示，随着越来越多的应用程序在Box世界中兴起，面向用户的嵌入式安全性和合规性工具集将成为关键的差异化因素。Ojha引用内容云(Content Cloud)作为Box用户在不同工作流中实现一致安全性和可视性的地方，以查看应用程序中正在处理哪些文件和数据，以及谁在访问数据及出于什么目的。

另一个原生工具Box Shield也可以配置来查找和分类敏感数据，并对分类后的数据进行适当的控制，以降低内部人员和恶意软件威胁的风险，同时还可以了解与数据相关的法规要求，并确保对监管机构进行审核跟踪。此外，他还建议重新关注身份和访问管理(IAM)，尤其是对外部用户和合作伙伴使用多因素身份认证，而不要再使用可重用的密码组合。

在数据层保护数据

Titaniam数据保护公司创始人兼CEO Arti Raman警告称，不要过度依赖身份和访问控制来防止数据泄漏，同时控件还需要直接关注通过公共云进行交易并存储在公共云中的数据。但是，从端点到企业再到云的数据保护非常困难，并且必须具有足够的灵活性以跨越所有这些边界，以便在整个生命周期内保护数据。

Raman认为，在对数据进行索引、搜索、聚合、查询或以其他方式进行操作时，加密和数据保护应始终存在。这包括传统的加密技术以及新的可搜索技术，这些新技术是在其上使用传统加密来满足合规性标准。