从 2010 年至今，云计算在中国的发展已有 10 年。这 10 年，云计算从 1.0 进入 2.0，也有人说从上半场进入下半场。总之，云计算逐渐普及，市场越来越成熟。如今，云原生已经成为云计算发展的主流，以 K8s 为代表的容器生态逐渐壮大。企业上云成为大势所趋，而安全则成为首要的关注点。

　　上云后，企业的安全状况会发生怎样的变化？

　　对企业来说，一旦上云，其安全状况会有很大的变化。上云前，企业技术堆栈比较厚重，系统开发和维护生命周期长。这时候，企业云化的最大驱动力来自于在业务快速变化和发展情况下，企业对 IT 需求交付速度和改善效率提出的要求。

　　为满足这种高要求，云化应用更多采用了 DevOps 等开发模式，取代瀑布模型等传统应用开发模式，对应的开发工具、平台也会变化，比如传统的 B/S、C/S 架构转变为微服务架构。

　　随着开发模式的改变，系统的技术栈和底层平台也会发生变化，比如传统上采用防火墙和网络安全域隔离，云上则是 VPC 和安全组等，那么企业所应用的安全产品、策划和管理思想也要随之改变。

　　上云后，企业将两方面的安全问题。首先，云服务用户会面临传统的安全问题，包括数据安全、DDoS 攻击、应用和系统漏洞、针对主机的暴力破解、入侵等。

　　另外，很多云服务支持云 API 操作云资源。但是，一些企业用户会将云 API 的密钥写在代码中，上传到 GitHub，从而导致泄露并被不法分子所利用，影响企业购买的云资源。

　　企业上云需要关注的安全问题

　　从长期观察来看，企业上云应该主要关注下列问题：

　　信息泄露：因员工安全意识不到位而导致（像云 API 密钥、运维相关账号密码等）泄露，这可能造成云资源直接被黑客控制甚至销毁等。

　　云服务配置不当：这需要正确的使用云服务，使用云服务提供的安全功能进行安全加固和配置，避免由此带来的数据泄露等问题，比如 COS 配置不当导致数据泄露。

　　运维不当导致的安全问题：比如自建服务需要进行访问限制，避免主机和相关服务设置弱口令等，这些都可能成为黑客入侵的利用条件，例如 Redis 未授权访问导致的入侵问题。

　　通用组件及系统漏洞：业务中使用的一些通用组件及操作系统会不定期的爆发新的安全漏洞，需要及时修复与更新补丁，否则也会被黑客利用，比如永恒之蓝等系统漏洞。

　　客户自身业务系统的安全问题：不管是上云或传统安全，这方面的安全问题一直是持续存在的，也一直在被利用，例如业务系统中出现的命令执行漏洞等。

　　DDoS 攻击问题：尤其是一些核心系统，恶意的 DDoS 攻击等可能导致业务中断。