企業(yè)持續(xù)快速將工作負(fù)載從數(shù)據(jù)中心遷移到云上,利用無服務(wù)器、容器和機(jī)器學(xué)習(xí)等新技術(shù),以獲得效率提升、更好的可伸縮性和更快的部署等收益。
隨著公有云的采用持續(xù)激增,特別是在2020年疫情危機(jī)和隨之而來的向遠(yuǎn)程辦公加速轉(zhuǎn)變的情況下,人們依然對(duì)云安全十分擔(dān)憂。
因此,這份2020年云安全報(bào)告旨在探討企業(yè)如何應(yīng)對(duì)云環(huán)境中不斷演變的安全威脅,以及合格安全人員的持續(xù)短缺。
主要發(fā)現(xiàn)
盡管云計(jì)算得到快速應(yīng)用,但對(duì)于云用戶來說,安全性仍然是一個(gè)關(guān)鍵問題。大多數(shù)網(wǎng)絡(luò)安全專業(yè)人士(94%)認(rèn)為,他們至少對(duì)公有云安全有一定程度的擔(dān)憂,這一比例較去年調(diào)查數(shù)據(jù)略有上升。
在采用云計(jì)算的主要障礙中,企業(yè)提到缺乏合格的專業(yè)人員(37%)是加快采用云計(jì)算的最大阻礙——去年的調(diào)查中排名第五。
連續(xù)四年,培訓(xùn)和認(rèn)證IT員工(61%)被列為組織部署的主要策略之一,以確保滿足不斷變化的安全需求。58%的受訪者依賴于云供應(yīng)商的原生安全工具,34%的受訪者希望雇傭更多致力于云安全的員工。
約六成企業(yè)預(yù)計(jì)云安全預(yù)算將在未來一年內(nèi)增加。平均而言,企業(yè)將27%的安全預(yù)算分配給云安全。
當(dāng)被問及組織如何評(píng)價(jià)他們的整體安全準(zhǔn)備時(shí),69%的企業(yè)覺得他們團(tuán)隊(duì)的安全準(zhǔn)備等于或低于平均水平。只有31%的人認(rèn)為自己高于平均水平。其中80%的人認(rèn)為團(tuán)隊(duì)將受益于云安全培訓(xùn)和/或認(rèn)證。
調(diào)查中反復(fù)出現(xiàn)的一個(gè)主題是,合格的網(wǎng)絡(luò)安全人員持續(xù)短缺,而且所有員工都缺乏應(yīng)有的安全意識(shí)和安全技能。網(wǎng)絡(luò)安全專業(yè)人士認(rèn)為,59%的員工將從安全培訓(xùn)和/或工作認(rèn)證中受益。
調(diào)研結(jié)果
公有云安全
盡管云計(jì)算得到快速應(yīng)用,但對(duì)于云用戶來說,安全性仍然是一個(gè)關(guān)鍵問題。大多數(shù)網(wǎng)絡(luò)安全專業(yè)人士(94%)認(rèn)為,他們至少對(duì)公有云安全有一定程度的擔(dān)憂,這一比例較去年調(diào)查數(shù)據(jù)(93%)略有上升。
圖1企業(yè)對(duì)公有云安全的關(guān)心程度
大多數(shù)組織對(duì)其云安全態(tài)勢(shì)沒有信心(66%)。雖然信心從去年的84%下降了18個(gè)百分點(diǎn),但仍然存在一定程度的過度自信??偟膩砜匆琅f是用戶對(duì)云上安全不放心,也許是前期上云過程中的過度自信,在真正在云環(huán)境下運(yùn)行業(yè)務(wù)時(shí),各類安全問題才開始顯現(xiàn),以至于云用戶對(duì)自身安全態(tài)勢(shì)有了新的認(rèn)識(shí),不再過度自信。
圖2企業(yè)對(duì)自身云安全態(tài)勢(shì)的自信程度
云安全所擔(dān)憂的問題
作為云服務(wù)的一部分,云供應(yīng)商開始提供越來越健壯的安全措施,但是最終負(fù)責(zé)保護(hù)云上工作負(fù)載的依舊是用戶自己。在調(diào)查中,最突出的云安全挑戰(zhàn)是關(guān)于數(shù)據(jù)泄漏(69%,比去年上升5個(gè)百分點(diǎn))和數(shù)據(jù)隱私(66%,比去年上升4個(gè)百分點(diǎn))。緊隨其后的是對(duì)憑據(jù)意外暴露和事件響應(yīng)的擔(dān)憂(從去年的29%上升到44%)。今年看到數(shù)據(jù)主權(quán)問題開始進(jìn)入大家的視線,因?yàn)樽罱P(guān)于數(shù)據(jù)出境的一些討論和國際政策,爭(zhēng)論比較激烈,具體可以參考《數(shù)據(jù)安全法(草案)》相關(guān)的分析文章。
圖3最擔(dān)憂的云安全問題
在運(yùn)維安全痛點(diǎn)方面,隨著越來越多的工作負(fù)載遷移到云上,網(wǎng)絡(luò)安全專業(yè)人士已經(jīng)意識(shí)到保護(hù)這些工作負(fù)載的復(fù)雜性。缺乏合格的安全人員(47%)從去年的第三名上升到了排行榜的第一名,這是企業(yè)上云后普遍開始遇到的一個(gè)問題,目前主要方式還是選擇第三方服務(wù)機(jī)構(gòu)來進(jìn)行管理,但這并非適合所有企業(yè)。其次是合規(guī)性(40%)和跨云及本地環(huán)境一致性的安全策略(36%)。其他方面可以發(fā)現(xiàn),是近2年來大家一直在關(guān)注的問題,安全可視化大屏和監(jiān)控,自動(dòng)化監(jiān)測(cè)與響應(yīng)平臺(tái)(SOAR、SOC)、DevSecOps以及遺留系統(tǒng)遷移上云的技術(shù)集成等問題。
圖4運(yùn)維安全痛點(diǎn)問題
上云的阻礙
在采用云計(jì)算的障礙中,企業(yè)提到缺少專業(yè)員工(37%)是加速上云的最大障礙——去年的調(diào)查中排名第五。接下來是與現(xiàn)有IT環(huán)境集成方面的挑戰(zhàn),以及數(shù)據(jù)安全問題(并列35%)。
圖5上云的主要阻礙
云安全的最大威脅
當(dāng)被問及公有云面臨的最大安全威脅是什么時(shí),組織將云平臺(tái)的錯(cuò)誤配置(68%)列為頭號(hào)問題,高于去年的第三名排名。其次是未授權(quán)訪問(58%)、不安全接口(52%)和帳戶劫持(50%)。與去年數(shù)據(jù)相比,前三名的威脅沒有變化,這幾個(gè)問題穩(wěn)居前三,只是占比明顯提升,分析應(yīng)該是上云用戶逐漸增加,并且開始適應(yīng)云上環(huán)境,一些普遍問題開始擴(kuò)散。新上榜的一個(gè)威脅是來自國家級(jí)的網(wǎng)絡(luò)攻擊,這個(gè)內(nèi)涵就太多了,這里不再展開,也不是本報(bào)告分析的重點(diǎn)。
圖6云安全的最大威脅
傳統(tǒng)工具云上集成情況
隨著工作負(fù)載不斷向云上遷移,組織面臨著云計(jì)算帶來的安全挑戰(zhàn)。大多數(shù)遺留安全工具都不是為云而設(shè)計(jì)的。82%的受訪者表示,傳統(tǒng)的安全解決方案要么根本無法在云環(huán)境中工作,要么功能有限——與去年的調(diào)查(66%)相比,情況明顯惡化。
圖7遺留安全工具在云上使用情況
云安全解決方案的驅(qū)動(dòng)因素
企業(yè)快速上云是云計(jì)算不可否認(rèn)的一些優(yōu)勢(shì)所驅(qū)動(dòng)的。企業(yè)認(rèn)識(shí)到部署云安全解決方案的一些關(guān)鍵驅(qū)動(dòng)因素,包括更快的部署時(shí)間和成本節(jié)約(41%持平)。緊隨其后的是在補(bǔ)丁和軟件更新方面的投入減少(40%)。隨著上云的普及,一些成熟的解決方案開始被推廣,企業(yè)上云速度越來越快,云上運(yùn)營成本越來越低,使企業(yè)嘗到了云計(jì)算的甜頭。一些自動(dòng)化工具和流程的應(yīng)用,大大減少企業(yè)資源的投入,可以節(jié)省更多時(shí)間對(duì)業(yè)務(wù)和安全進(jìn)行優(yōu)化。相比去年數(shù)據(jù),沒有太大變化,占比略有提升。這其中也有疫情因素,似的企業(yè)不得不改變傳統(tǒng)的工作和交付方式。
圖8云上解決方案的驅(qū)動(dòng)因素
采用云安全方案的阻礙
盡管云安全解決方案提供了顯著的優(yōu)勢(shì),但采用它的障礙仍然存在。當(dāng)涉及到業(yè)務(wù)轉(zhuǎn)換和上云時(shí),必須將三個(gè)重要方面結(jié)合起來:人、流程和技術(shù)。調(diào)查顯示,企業(yè)面臨的最大挑戰(zhàn)不是技術(shù),而是人員和流程。員工專業(yè)知識(shí)和培訓(xùn)(55%,去年為41%)仍然是最大的障礙,其次是預(yù)算(46%,去年為40%)、數(shù)據(jù)隱私問題(37%)和缺乏與本地安全工具的集成(36%)。與去年調(diào)查的結(jié)果基本相同,但占比有所提高。
圖9阻礙云解決方案采用的主要問題
上云收益
當(dāng)被問及云計(jì)算的好處時(shí),參與調(diào)查的企業(yè)普遍覺得云計(jì)算實(shí)現(xiàn)了之前的承諾:靈活的功能和彈性(51%)、改善可用性和業(yè)務(wù)連續(xù)性(46%)和提高敏捷性(45%)。排名前三的收益較去年沒有變化,但占比有較大幅提高(去年分別為39%、34%和32%)。
圖10上云的主要收益
強(qiáng)化云安全的途徑
培訓(xùn)和認(rèn)證IT員工(61%)連續(xù)4年被列為組織部署的主要策略,以確保滿足不斷變化的安全需求。58%的受訪者依賴于云供應(yīng)商的原生安全工具,34%的受訪者希望雇傭更多致力于云安全的員工。
圖11強(qiáng)化云安全的主要方式
安全備戰(zhàn)情況
當(dāng)被問及組織如何評(píng)價(jià)他們的整體安全準(zhǔn)備時(shí),69%的企業(yè)覺得他們團(tuán)隊(duì)的安全準(zhǔn)備等于或低于平均水平。只有31%的人認(rèn)為自己高于平均水平。其中80%的人認(rèn)為團(tuán)隊(duì)將受益于云安全培訓(xùn)和/或認(rèn)證。
調(diào)查中反復(fù)出現(xiàn)的一個(gè)主題是,合格的網(wǎng)絡(luò)安全人員持續(xù)短缺,而且所有員工都缺乏應(yīng)有的安全意識(shí)和安全技能。網(wǎng)絡(luò)安全專業(yè)人士認(rèn)為,59%的員工將從安全培訓(xùn)和/或工作認(rèn)證中受益。
圖12多數(shù)人認(rèn)為員工會(huì)從培訓(xùn)或認(rèn)證中受益
當(dāng)談到安全培訓(xùn)主題的優(yōu)先級(jí)時(shí),調(diào)查中的網(wǎng)絡(luò)安全專家選擇了云網(wǎng)絡(luò)安全(66%)、應(yīng)用安全(45%)和基于風(fēng)險(xiǎn)的框架(43%)作為培訓(xùn)和教育成功最有價(jià)值的主題。相較于去年,前兩位沒有變化,只是占比增加,但是第三位由事件響應(yīng)變?yōu)榛陲L(fēng)險(xiǎn)的框架(去年為25%),還是那句話,剛到一個(gè)新環(huán)境,稍微適應(yīng)之后各種問題開始顯現(xiàn),目前企業(yè)關(guān)心的就是云上安全整體解決方案,而這就需要一個(gè)適用于云上的安全風(fēng)險(xiǎn)框架。
圖13培訓(xùn)重點(diǎn)
云安全預(yù)算情況
約六成企業(yè)預(yù)計(jì)云安全預(yù)算將在未來一年內(nèi)增加。平均來看,企業(yè)將27%的安全預(yù)算分配給云安全。盡管這個(gè)比例不算大,但是企業(yè)開始重視云上安全問題(以上各方面問題占比較比去年均有所提高),隨著時(shí)間推移,預(yù)計(jì)預(yù)算會(huì)持續(xù)增加。
圖14云安全預(yù)算
報(bào)告來源于Cybersecurity Insiders,作者Holger Schulze,CEO and Founder.報(bào)告中數(shù)據(jù)主要來自ISC2。
共計(jì)調(diào)查了653名網(wǎng)絡(luò)安全專業(yè)人員,旨在發(fā)現(xiàn)云用戶是如何在云中應(yīng)對(duì)安全威脅,以及培訓(xùn)、認(rèn)證和最佳實(shí)踐。受訪者范圍從技術(shù)主管到IT安全從業(yè)人員,代表了多個(gè)行業(yè)中不同規(guī)模的企業(yè)。
在云安全背景下,接下來的文章將和大家分享國內(nèi)上云情況以及企業(yè)如何進(jìn)行上云遷移。