2016年世界互联网大会已经圆满落幕，云计算仍然是“处在风口上的猪”，今年提出了很多AI新科技，包括自动驾驶、语音识别、机器翻译，不禁让人感叹，科技的进步对人类生活产生了越来越大的影响、也在逐渐改变眼前的世界。

尽管如此，人们对云计算到底能给企业带来什么价值的疑惑从未停止过，私有云、公有云、混合云等不同云类型的云计算安全问题、管控的意义等问题还在加剧这种担忧。实际上，大多数CISO和安全团队关于云计算的担忧不外乎以下三种：

• 虚拟化环境的安全，包括私有云和IaaS的安全；

• 使用SaaS时的控制措施，不同云模式中存储的数据控制；

• 多租户环境中的风险、合规与责任问题。

上面每个领域的云安全都有自己独特的挑战，而且每个领域都有不同的企业管理方式。对IT安全和风险领导来说，关注不断发展的云控制实践/方法才能确定如何保证这些看似分散却紧密相关的领域中的云安全。

云安全最佳实践到底包括什么？行业内很难达成共识，幸运的是，现在市场上出现了越来越多有用的安全和控制措施。

但考虑到云计算的复杂而分散的特性，只有结合可视化和大数据的新安全技术/实践才能起到真正的作用。一些联动平台如CWPP（Cloud Workload Protection Platform，云工作负载保护平台）和CASB（Cloud Access Security Broker，云访问安全代理）代表了一种全新的工具形式，让企业能够控制不同云环境中复杂和分布式行为。比如国内安全厂商青藤云安全开发的CWPP架构，可适用于多种云环境和传统本地机房，用部署轻量级agent的方式时刻检测***、漏洞等情况。

总之，负责云安全和新兴技术安全的安全风险管理领导人应该：

• 开发包括这三个关键云安全功能的安全和控制模型：不同员工管理好各自的虚拟环境安全；控制SaaS使用；解决多租户环境中的风险与合规性问题。

• 使用云控制工具（包括虚拟化安全中的CWPP和SaaS治理中的CASB），实现云端活动可视化、持续满足合规性要求。

• 实施其他控制机制，增强本地公有云服务的能力。

更多详细战略猜想，请关注微信公众号：qingtengyun。以下猜想要点，一睹为快！

1st：到2020年，70%的云安全、合规性、风险控制的时间和资源都将被用于管理SaaS提供商、监督SaaS用户行为上。

2nd：到2020年，比起传统数据中心中的安全事故， 公有云IaaS工作负载承载的安全事故将会减少至少60%。

3rd：到2018年，实施合适云可视化和控制工具的企业中，60%的企业遇到的安全事故会减少三分之一。

4th：到2017年，对安全功能的不满意会推动一多半的IaaS新用户企业在一年内添加第三方安全产品。