我们构建的体系太过复杂，且缺乏专业训练来确保其安全性。这就导致漏洞频出，一旦发生数据泄露，企业往往不知所措。

　　云安全公司 Tenable 的报告显示，74% 的受访公司存在存储或其他配置错误问题，这无疑为网络犯罪分子敞开了大门，致使云安全状况不断恶化。尽管安全工具在可用性和质量上有所提升，但管理云基础设施的人员能力却未能跟上。研究还表明，超三分之一的云环境因多种因素处于高风险状态：高度特权、公开曝光和严重薄弱的工作负载，形成了 “有毒云三驾马车”，使企业遭受网络攻击的风险大增。

　　常见问题包括公开暴露且权限过高的存储，其中常含敏感数据，极易成为勒索软件攻击目标。同时，访问密钥不当使用问题严重，84% 的组织存有未使用的高特权密钥。如 2023 年 9 月米高梅度假村数据泄露事件，便是安全监管不力导致违规的例证。

　　在容器编排方面，Kubernetes 环境也存在风险。78% 的组织其 Kubernetes API 服务器可公开访问，部分还允许入站互联网访问和无限制用户控制，加剧了潜在漏洞。

　　解决这些漏洞需全面施策。组织应整合身份、漏洞、配置错误和数据风险信息，秉持上下文驱动的安全理念，以便精确评估风险与确定优先级。管理 Kubernetes 访问时，要遵循 Pod 安全标准、限制特权容器，定期审计凭据和权限以落实最小特权原则。

　　优先修复脆弱点至关重要，特别是高风险区域。定期审计和主动修补可降低风险、增强安全弹性，并与治理、风险和合规（GRC）实践协同，保障安全协议持续优化。

　　云安全需积极主动，融合技术、流程和政策降低风险。组织可从被动防御转为构建可持续安全框架，以保护云基础设施和数据资产。比如实施严格访问控制措施，定期审核访问密钥，轮换并清除不必要密钥；强化身份和访问管理（IAM），执行最小特权原则，利用基于角色的访问控制（RBAC）；定期进行安全审计和渗透测试，借助外部专业组织排查漏洞；部署自动化监控和响应系统，实时监测威胁；遵循 Kubernetes 最佳实践，限制 API 服务器访问和用户权限；优先管理漏洞，定期更新和修补软件与云服务；加强 GRC 框架，持续评估和提升安全控制效力；开展员工安全意识培训，使其了解威胁与安全实践。

　　核心问题在于资源而非最佳实践和安全工具的缺乏。企业虽拥有所需工具和流程，但却未分配足够资源有效执行相关工作，米高梅事件便是警示。