信息化觀察網(wǎng)

企業(yè)持續(xù)快速將工作負(fù)載從數(shù)據(jù)中心遷移到云上，利用無(wú)服務(wù)器、容器和機(jī)器學(xué)習(xí)等新技術(shù)，以獲得效率提升、更好的可伸縮性和更快的部署等收益。

隨著公有云的采用持續(xù)激增，特別是在2020年疫情危機(jī)和隨之而來(lái)的向遠(yuǎn)程辦公加速轉(zhuǎn)變的情況下，人們依然對(duì)云安全十分擔(dān)憂。

因此，這份2020年云安全報(bào)告旨在探討企業(yè)如何應(yīng)對(duì)云環(huán)境中不斷演變的安全威脅，以及合格安全人員的持續(xù)短缺。

主要發(fā)現(xiàn)

盡管云計(jì)算得到快速應(yīng)用，但對(duì)于云用戶來(lái)說(shuō)，安全性仍然是一個(gè)關(guān)鍵問(wèn)題。大多數(shù)網(wǎng)絡(luò)安全專業(yè)人士(94%)認(rèn)為，他們至少對(duì)公有云安全有一定程度的擔(dān)憂，這一比例較去年調(diào)查數(shù)據(jù)略有上升。

在采用云計(jì)算的主要障礙中，企業(yè)提到缺乏合格的專業(yè)人員(37%)是加快采用云計(jì)算的最大阻礙——去年的調(diào)查中排名第五。

連續(xù)四年，培訓(xùn)和認(rèn)證IT員工(61%)被列為組織部署的主要策略之一，以確保滿足不斷變化的安全需求。58%的受訪者依賴于云供應(yīng)商的原生安全工具，34%的受訪者希望雇傭更多致力于云安全的員工。

約六成企業(yè)預(yù)計(jì)云安全預(yù)算將在未來(lái)一年內(nèi)增加。平均而言，企業(yè)將27%的安全預(yù)算分配給云安全。

當(dāng)被問(wèn)及組織如何評(píng)價(jià)他們的整體安全準(zhǔn)備時(shí)，69%的企業(yè)覺(jué)得他們團(tuán)隊(duì)的安全準(zhǔn)備等于或低于平均水平。只有31%的人認(rèn)為自己高于平均水平。其中80%的人認(rèn)為團(tuán)隊(duì)將受益于云安全培訓(xùn)和/或認(rèn)證。

調(diào)查中反復(fù)出現(xiàn)的一個(gè)主題是，合格的網(wǎng)絡(luò)安全人員持續(xù)短缺，而且所有員工都缺乏應(yīng)有的安全意識(shí)和安全技能。網(wǎng)絡(luò)安全專業(yè)人士認(rèn)為，59%的員工將從安全培訓(xùn)和/或工作認(rèn)證中受益。

調(diào)研結(jié)果

公有云安全

盡管云計(jì)算得到快速應(yīng)用，但對(duì)于云用戶來(lái)說(shuō)，安全性仍然是一個(gè)關(guān)鍵問(wèn)題。大多數(shù)網(wǎng)絡(luò)安全專業(yè)人士(94%)認(rèn)為，他們至少對(duì)公有云安全有一定程度的擔(dān)憂，這一比例較去年調(diào)查數(shù)據(jù)（93%）略有上升。

圖1企業(yè)對(duì)公有云安全的關(guān)心程度

大多數(shù)組織對(duì)其云安全態(tài)勢(shì)沒(méi)有信心(66%)。雖然信心從去年的84%下降了18個(gè)百分點(diǎn)，但仍然存在一定程度的過(guò)度自信。總的來(lái)看依舊是用戶對(duì)云上安全不放心，也許是前期上云過(guò)程中的過(guò)度自信，在真正在云環(huán)境下運(yùn)行業(yè)務(wù)時(shí)，各類安全問(wèn)題才開(kāi)始顯現(xiàn)，以至于云用戶對(duì)自身安全態(tài)勢(shì)有了新的認(rèn)識(shí)，不再過(guò)度自信。

圖2企業(yè)對(duì)自身云安全態(tài)勢(shì)的自信程度

云安全所擔(dān)憂的問(wèn)題

作為云服務(wù)的一部分，云供應(yīng)商開(kāi)始提供越來(lái)越健壯的安全措施，但是最終負(fù)責(zé)保護(hù)云上工作負(fù)載的依舊是用戶自己。在調(diào)查中，最突出的云安全挑戰(zhàn)是關(guān)于數(shù)據(jù)泄漏(69%，比去年上升5個(gè)百分點(diǎn))和數(shù)據(jù)隱私(66%，比去年上升4個(gè)百分點(diǎn))。緊隨其后的是對(duì)憑據(jù)意外暴露和事件響應(yīng)的擔(dān)憂(從去年的29%上升到44%)。今年看到數(shù)據(jù)主權(quán)問(wèn)題開(kāi)始進(jìn)入大家的視線，因?yàn)樽罱P(guān)于數(shù)據(jù)出境的一些討論和國(guó)際政策，爭(zhēng)論比較激烈，具體可以參考《數(shù)據(jù)安全法（草案）》相關(guān)的分析文章。

圖3最擔(dān)憂的云安全問(wèn)題

在運(yùn)維安全痛點(diǎn)方面，隨著越來(lái)越多的工作負(fù)載遷移到云上，網(wǎng)絡(luò)安全專業(yè)人士已經(jīng)意識(shí)到保護(hù)這些工作負(fù)載的復(fù)雜性。缺乏合格的安全人員(47%)從去年的第三名上升到了排行榜的第一名，這是企業(yè)上云后普遍開(kāi)始遇到的一個(gè)問(wèn)題，目前主要方式還是選擇第三方服務(wù)機(jī)構(gòu)來(lái)進(jìn)行管理，但這并非適合所有企業(yè)。其次是合規(guī)性(40%)和跨云及本地環(huán)境一致性的安全策略(36%)。其他方面可以發(fā)現(xiàn)，是近2年來(lái)大家一直在關(guān)注的問(wèn)題，安全可視化大屏和監(jiān)控，自動(dòng)化監(jiān)測(cè)與響應(yīng)平臺(tái)（SOAR、SOC）、DevSecOps以及遺留系統(tǒng)遷移上云的技術(shù)集成等問(wèn)題。

圖4運(yùn)維安全痛點(diǎn)問(wèn)題

上云的阻礙

在采用云計(jì)算的障礙中，企業(yè)提到缺少專業(yè)員工(37%)是加速上云的最大障礙——去年的調(diào)查中排名第五。接下來(lái)是與現(xiàn)有IT環(huán)境集成方面的挑戰(zhàn)，以及數(shù)據(jù)安全問(wèn)題(并列35%)。

圖5上云的主要阻礙

云安全的最大威脅

當(dāng)被問(wèn)及公有云面臨的最大安全威脅是什么時(shí)，組織將云平臺(tái)的錯(cuò)誤配置(68%)列為頭號(hào)問(wèn)題，高于去年的第三名排名。其次是未授權(quán)訪問(wèn)(58%)、不安全接口(52%)和帳戶劫持(50%)。與去年數(shù)據(jù)相比，前三名的威脅沒(méi)有變化，這幾個(gè)問(wèn)題穩(wěn)居前三，只是占比明顯提升，分析應(yīng)該是上云用戶逐漸增加，并且開(kāi)始適應(yīng)云上環(huán)境，一些普遍問(wèn)題開(kāi)始擴(kuò)散。新上榜的一個(gè)威脅是來(lái)自國(guó)家級(jí)的網(wǎng)絡(luò)攻擊，這個(gè)內(nèi)涵就太多了，這里不再展開(kāi)，也不是本報(bào)告分析的重點(diǎn)。

圖6云安全的最大威脅

傳統(tǒng)工具云上集成情況

隨著工作負(fù)載不斷向云上遷移，組織面臨著云計(jì)算帶來(lái)的安全挑戰(zhàn)。大多數(shù)遺留安全工具都不是為云而設(shè)計(jì)的。82%的受訪者表示，傳統(tǒng)的安全解決方案要么根本無(wú)法在云環(huán)境中工作，要么功能有限——與去年的調(diào)查(66%)相比，情況明顯惡化。

圖7遺留安全工具在云上使用情況

云安全解決方案的驅(qū)動(dòng)因素

企業(yè)快速上云是云計(jì)算不可否認(rèn)的一些優(yōu)勢(shì)所驅(qū)動(dòng)的。企業(yè)認(rèn)識(shí)到部署云安全解決方案的一些關(guān)鍵驅(qū)動(dòng)因素，包括更快的部署時(shí)間和成本節(jié)約(41%持平)。緊隨其后的是在補(bǔ)丁和軟件更新方面的投入減少(40%)。隨著上云的普及，一些成熟的解決方案開(kāi)始被推廣，企業(yè)上云速度越來(lái)越快，云上運(yùn)營(yíng)成本越來(lái)越低，使企業(yè)嘗到了云計(jì)算的甜頭。一些自動(dòng)化工具和流程的應(yīng)用，大大減少企業(yè)資源的投入，可以節(jié)省更多時(shí)間對(duì)業(yè)務(wù)和安全進(jìn)行優(yōu)化。相比去年數(shù)據(jù)，沒(méi)有太大變化，占比略有提升。這其中也有疫情因素，似的企業(yè)不得不改變傳統(tǒng)的工作和交付方式。

圖8云上解決方案的驅(qū)動(dòng)因素

采用云安全方案的阻礙

盡管云安全解決方案提供了顯著的優(yōu)勢(shì)，但采用它的障礙仍然存在。當(dāng)涉及到業(yè)務(wù)轉(zhuǎn)換和上云時(shí)，必須將三個(gè)重要方面結(jié)合起來(lái)：人、流程和技術(shù)。調(diào)查顯示，企業(yè)面臨的最大挑戰(zhàn)不是技術(shù)，而是人員和流程。員工專業(yè)知識(shí)和培訓(xùn)(55%，去年為41%)仍然是最大的障礙，其次是預(yù)算(46%，去年為40%)、數(shù)據(jù)隱私問(wèn)題(37%)和缺乏與本地安全工具的集成(36%)。與去年調(diào)查的結(jié)果基本相同，但占比有所提高。

圖9阻礙云解決方案采用的主要問(wèn)題

上云收益

當(dāng)被問(wèn)及云計(jì)算的好處時(shí)，參與調(diào)查的企業(yè)普遍覺(jué)得云計(jì)算實(shí)現(xiàn)了之前的承諾：靈活的功能和彈性(51%)、改善可用性和業(yè)務(wù)連續(xù)性(46%)和提高敏捷性(45%)。排名前三的收益較去年沒(méi)有變化，但占比有較大幅提高（去年分別為39%、34%和32%）。

圖10上云的主要收益

強(qiáng)化云安全的途徑

培訓(xùn)和認(rèn)證IT員工(61%)連續(xù)4年被列為組織部署的主要策略，以確保滿足不斷變化的安全需求。58%的受訪者依賴于云供應(yīng)商的原生安全工具，34%的受訪者希望雇傭更多致力于云安全的員工。

圖11強(qiáng)化云安全的主要方式

安全備戰(zhàn)情況

當(dāng)被問(wèn)及組織如何評(píng)價(jià)他們的整體安全準(zhǔn)備時(shí)，69%的企業(yè)覺(jué)得他們團(tuán)隊(duì)的安全準(zhǔn)備等于或低于平均水平。只有31%的人認(rèn)為自己高于平均水平。其中80%的人認(rèn)為團(tuán)隊(duì)將受益于云安全培訓(xùn)和/或認(rèn)證。

調(diào)查中反復(fù)出現(xiàn)的一個(gè)主題是，合格的網(wǎng)絡(luò)安全人員持續(xù)短缺，而且所有員工都缺乏應(yīng)有的安全意識(shí)和安全技能。網(wǎng)絡(luò)安全專業(yè)人士認(rèn)為，59%的員工將從安全培訓(xùn)和/或工作認(rèn)證中受益。

圖12多數(shù)人認(rèn)為員工會(huì)從培訓(xùn)或認(rèn)證中受益

當(dāng)談到安全培訓(xùn)主題的優(yōu)先級(jí)時(shí)，調(diào)查中的網(wǎng)絡(luò)安全專家選擇了云網(wǎng)絡(luò)安全(66%)、應(yīng)用安全(45%)和基于風(fēng)險(xiǎn)的框架(43%)作為培訓(xùn)和教育成功最有價(jià)值的主題。相較于去年，前兩位沒(méi)有變化，只是占比增加，但是第三位由事件響應(yīng)變?yōu)榛陲L(fēng)險(xiǎn)的框架（去年為25%），還是那句話，剛到一個(gè)新環(huán)境，稍微適應(yīng)之后各種問(wèn)題開(kāi)始顯現(xiàn)，目前企業(yè)關(guān)心的就是云上安全整體解決方案，而這就需要一個(gè)適用于云上的安全風(fēng)險(xiǎn)框架。

圖13培訓(xùn)重點(diǎn)

云安全預(yù)算情況

約六成企業(yè)預(yù)計(jì)云安全預(yù)算將在未來(lái)一年內(nèi)增加。平均來(lái)看，企業(yè)將27%的安全預(yù)算分配給云安全。盡管這個(gè)比例不算大，但是企業(yè)開(kāi)始重視云上安全問(wèn)題（以上各方面問(wèn)題占比較比去年均有所提高），隨著時(shí)間推移，預(yù)計(jì)預(yù)算會(huì)持續(xù)增加。

圖14云安全預(yù)算

報(bào)告來(lái)源于Cybersecurity Insiders，作者Holger Schulze，CEO and Founder.報(bào)告中數(shù)據(jù)主要來(lái)自ISC2。

共計(jì)調(diào)查了653名網(wǎng)絡(luò)安全專業(yè)人員，旨在發(fā)現(xiàn)云用戶是如何在云中應(yīng)對(duì)安全威脅,以及培訓(xùn)、認(rèn)證和最佳實(shí)踐。受訪者范圍從技術(shù)主管到IT安全從業(yè)人員，代表了多個(gè)行業(yè)中不同規(guī)模的企業(yè)。

在云安全背景下，接下來(lái)的文章將和大家分享國(guó)內(nèi)上云情況以及企業(yè)如何進(jìn)行上云遷移。