云配置错误，依然是困扰全球企业的老问题。从七年前的“开放式存储桶”到如今复杂的SaaS云生态，问题非但没有减少，反而因为工具激增、控制缺失与安全意识滞后而更加严重。尽管企业云迁移已成常态，但“错误配置”依旧是数据泄露的隐形炸弹——而AI能否成为解药，仍有待观察。

01-从“云上初学者”到“复杂生态”：错误仍在重演

七年前，企业刚开始拥抱云计算——那时的错误多半是因为“不懂”。

AWS存储桶被错误设置为公开访问，导致成百万条敏感记录外泄。

如今，企业早已历经多轮云转型，但问题依旧存在。

根据Qualys在2024年4月发布的报告，过去一年中有28%的企业经历了与云或SaaS相关的数据泄露；而24%的受访者认为配置错误是第三大主要风险，仅次于人为失误和网络攻击。  在对4400万台云端虚拟机的扫描中，Qualys发现：

• AWS上有45%的资源存在配置错误；

• GCP上有63%；

• Azure上更是高达70%。

更令人担忧的是，63%的公网可访问虚拟机没有为附加的EBS存储启用加密。这意味着，敏感数据正赤裸裸地暴露在网络上。

企业如今使用的SaaS工具数量呈爆炸式增长，每一个新接入的系统都可能成为潜在风险点。  例如，加州蓝盾（Blue Shield of California）最近曝出470万名会员信息外泄，原因只是Google Analytics中的一个配置错误。

Vetcor首席安全官Andrew Wilder一针见血地指出：“微软、谷歌和亚马逊给我们留下了一个根本性问题——默认配置是不安全的。安全性必须靠后续叠加，而不是内建。”

他形象地比喻道：“没人会买一辆没有车锁的汽车，但现在云厂商却在卖这种‘没有锁的云’。”

Wilder认为，这种安全空缺催生了大量第三方安全厂商的存在。“如果Google、Microsoft和Amazon能从一开始就提供‘安全即默认’（secure-by-design）的云产品，企业根本无需依赖外部工具。”

不过，像Vetcor这样规模有限的组织，仍主要依赖云服务商的原生工具进行安全防护，“对我们而言，目前这已经够用了。”

EY美洲区网络安全负责人Ayan Roy指出，共享云资源仍是数据泄露的重灾区。  “很多企业虽然制定了安全蓝图和治理流程，但因为影子IT问题，这些机制根本未被执行。”  部门在启用云服务时，往往“没打开所有安全选项”“没启用日志与监控”“没开启多因素认证（MFA）”“没限制访问范围”。

企业的目标是“快速上线”，而网络安全往往被放在最后考虑。

“网络安全成了事后补救。”Roy说，“如果安全团队能提前介入，就能从被动修补转为主动防御。”

他建议企业加强内部培训和沟通，推广“企业批准的安全云平台”，以减少员工因方便而使用不安全工具的情况。  此外，在并购整合中也要提前介入安全评估：“收购之前就要进行网络安全尽调，并为此做好投资规划。”

Asperitas云安全负责人Scott Wheeler指出，企业规模越大、监管压力越强，配置错误越少。

但在制造业等监管较弱的行业，错误反而更常见。

中小企业问题最突出——他们缺乏足够的人手与工具来防范暴露的存储桶、错误的权限或外部服务接口。

Wheeler强调：“零信任的核心在于最小化访问权限，但很多团队做不到。”  开发阶段临时提升权限，却忘记在上线后收回，成了普遍问题。

他认为，最大配置漏洞之一，是数据库或云资源未通过私有网络通信。  “很多云服务默认并非私网连接，而是公开网络通信。”这为攻击者提供了可乘之机。  缺乏MFA、多数数据未加密，更让问题雪上加霜。根据Thales的数据，全球仅51%的敏感云数据被加密，且仅8%的企业能做到对80%以上的云数据加密。

2️⃣ 默认使用私有网络通信  将数据库与服务配置为仅通过私网交互，不暴露公网接口。

3️⃣ 加密所有敏感数据（传输与静态）  加密应成为默认选项，并逐步引入抗量子算法，防范“先窃取、后解密”的新型攻击。

4️⃣ 严格执行最小权限原则  权限提升后要记得及时收回，避免过度授权成为入侵通道。

5️⃣ 采用“基础设施即代码”（IaC）管理变更  通过IaC实现变更可追踪、可审计、可回滚，避免手工误操作。

6️⃣ 持续扫描配置错误  不要只在上线时检查一次。持续监控是确保安全的关键。

7️⃣ 锁定云存储桶并禁用公共访问  Tenable报告显示，仍有9%的公开云存储中包含敏感数据。应将默认策略设为“私有”。

8️⃣ 启用全量日志与监控  避免“影子IT”服务脱离监控范围，建立企业级统一可视化体系。

9️⃣ 安全从第一天开始  安全不应是事后补丁，而应从架构设计阶段就纳入规划。