信息化觀察網(wǎng)

本文來自微信公眾號“安全牛（ID：aqniu-wx）”。

在過去幾年，云安全領(lǐng)域暴露了不少問題，發(fā)生了一些安全事件：AWS經(jīng)歷了超過3次嚴(yán)重中斷，導(dǎo)致Roku、達(dá)美航空公司、迪士尼+等知名網(wǎng)站數(shù)小時無法使用；Microsoft中存在的一個高危安全漏洞（稱為“NotLegit”）導(dǎo)致數(shù)百個源代碼存儲庫暴露……云服務(wù)提供商中斷、敏感數(shù)據(jù)泄露、云資產(chǎn)漏洞以及涉及使用公共云環(huán)境的違規(guī)行為等層出不窮。

不過，即便存在諸多安全問題，我們?nèi)匀豢吹綄⒐ぷ髫?fù)載遷移至云、在云中構(gòu)建新應(yīng)用程序以及訂閱各種SaaS和其他云服務(wù)已經(jīng)成為一種趨勢，并且正在快速增長。近日，研究機(jī)構(gòu)SANS發(fā)布《2022年云安全調(diào)查報告》（以下簡稱“報告”），其目的是幫助全球企業(yè)組織了解安全團(tuán)隊在云中面臨的威脅、如何使用云以及我們可以采取哪些措施來改善云中的安全狀況。

報告發(fā)現(xiàn)，目前，無論是管理團(tuán)隊的知識水平，還是來自云安全領(lǐng)域的供應(yīng)商及其提供的工具和服務(wù)都有了一定程度的提升。然而，總體而言進(jìn)展并不快。企業(yè)組織需要獲取更好的自動化能力以跟上快速迭代的服務(wù)，也需要使用更好的集中式工具和服務(wù)，以應(yīng)對不斷變化的云威脅場景。

報告還發(fā)現(xiàn)：無服務(wù)器（Serverless）已超越基礎(chǔ)設(shè)施即代碼（IaC），成為安全自動化技術(shù)的第一名；超過一半的受訪者正在將內(nèi)部身份目錄與基于云的目錄服務(wù)同步，以實(shí)現(xiàn)更強(qiáng)大的云身份管理和賬戶控制；與2021年相比發(fā)生了令人驚訝的變化，更多的受訪者表示，他們對通過獲取日志和系統(tǒng)信息以進(jìn)行取證感到不滿。

云使用模式

在云使用模式中，業(yè)務(wù)應(yīng)用程序和數(shù)據(jù)以68%的占比位居榜首，這也是它第三次蟬聯(lián)榜首；緊隨其后的是備份和災(zāi)難恢復(fù)，占比57%，而在2021年的調(diào)查中，它僅排第四，這種排名提升可能是由勒索軟件攻擊驅(qū)動的；安全服務(wù)（54%）、數(shù)據(jù)存儲和歸檔（42%）今年分列第三和第四，這也可能是由云使用和勒索軟件攻擊增長驅(qū)動的（詳見圖1）。

圖1：公共云中各種應(yīng)用程序和服務(wù)的占比情況

今年的調(diào)查還顯示，組織正在使用的公共云提供商數(shù)量與去年基本保持一致。2019年，最高響應(yīng)類別是2-3個提供者，該數(shù)字始終保持一致。小型組織仍然對遷移至多云部署猶豫不決，且只有少數(shù)組織使用20+家云服務(wù)提供商，這也與我們上次的調(diào)查一致。有趣的是，2021年，只有3%的組織使用了11-20個提供商，而這個數(shù)字在2022年躍升至9%。2021年只有超過16%的組織使用了4-6個提供商，這個數(shù)字到2022年已增長至23%（見圖2）。

圖2：組織正在使用的公共云提供商數(shù)量分布

隨著云應(yīng)用程序和多云部署（特別是面向最終用戶的部署）的使用量增加，53%的受訪者表示，他們正在使用云訪問安全代理（CASB），比2021年的43%顯著增加。49%的受訪者組織正在利用云網(wǎng)絡(luò)訪問服務(wù)；46%的組織還使用聯(lián)合身份服務(wù)來幫助將用戶訪問和授權(quán)集中到云應(yīng)用程序中。雖然沒有太多組織采用多云代理來集中訪問平臺即服務(wù)（PaaS）、基礎(chǔ)設(shè)施即服務(wù)（IaaS）和其他服務(wù)提供商環(huán)境，但這個數(shù)字還是從2021年的18%增長到2022年的25%。較新的安全訪問服務(wù)邊緣（SASE）類別將眾多安全服務(wù)結(jié)合到一個中央代理模型中，并獲得了18%的采用率。

云中的擔(dān)憂、風(fēng)險和治理

對于云中托管的敏感數(shù)據(jù)類型，商業(yè)智能（46%）從去年的第二位跌至今年的第三位。2022年最高的數(shù)據(jù)類型是金融業(yè)務(wù)數(shù)據(jù)，占比54%；而2021年以53%的占比排名第一的員工數(shù)據(jù)，今年則以49%的占比位居第二。總體而言，雖然數(shù)據(jù)類型發(fā)生了一些變化，但這里的總體趨勢與我們之前觀察到的趨勢高度相似。大約一半的組織愿意將各種敏感數(shù)據(jù)類型存放在云端，只是某些受到更嚴(yán)格監(jiān)管的數(shù)據(jù)類型占比較低，例如，客戶支付卡信息僅占22%、醫(yī)療信息僅占23%（參見圖3）。

圖3：云中敏感數(shù)據(jù)類型分布

當(dāng)被問及“《歐盟通用數(shù)據(jù)保護(hù)條例》（GDPR）等隱私法規(guī)是否正在影響現(xiàn)有或計劃中的云戰(zhàn)略”時，近三分之二（62%）的人認(rèn)為“是”，這一比例高于2021年的55%。對于某些數(shù)據(jù)類型（尤其是消費(fèi)者個人數(shù)據(jù)），組織需要確保其云提供商能夠充分滿足隱私合規(guī)性需求。與去年相比，這種增長趨勢可能會持續(xù)下去。

就“云中最大的擔(dān)憂”而言，過去幾年中，外部人員未經(jīng)授權(quán)訪問數(shù)據(jù)始終是最受關(guān)注的問題。但是，今年情況發(fā)生了重大變化，未經(jīng)授權(quán)的訪問僅排在第四位（51%），排在前面的分別為未經(jīng)授權(quán)的應(yīng)用程序組件或計算實(shí)例（54%，排第一）、配置不當(dāng)?shù)慕涌诤虯PI（52%，排第二）以及無法響應(yīng)事件（51%，排第三）。這種轉(zhuǎn)變表明，組織越來越習(xí)慣于鎖定云環(huán)境，但現(xiàn)在比過去更關(guān)心影子IT和配置錯誤問題。

“已存在”（realized）的最大問題是在需要時停機(jī)或云服務(wù)不可用（32%）、缺乏技能和培訓(xùn)（31%）以及未經(jīng)授權(quán)的外部訪問（28%）。這些“已存在”的問題在整個行業(yè)中一直存在，并且已經(jīng)存在了一段時間。我們推測，隨著云環(huán)境不斷增長和復(fù)雜化，即便沒有直接的入侵行為，對云API和應(yīng)用程序組件缺乏認(rèn)識和可見性也可能會引發(fā)更多擔(dān)憂。然而，入侵正在發(fā)生，并且對受訪者無法管理入侵場景的高度擔(dān)憂可能會繼續(xù)存在。有關(guān)“擔(dān)憂”和“實(shí)際事件”的完整細(xì)分，請參見圖4。

圖4：“擔(dān)憂”（藍(lán)色）和“實(shí)際事件”（紅色）的完整細(xì)分

調(diào)查還顯示，62%的受訪者認(rèn)為遠(yuǎn)程工作場景會增加云部署的風(fēng)險和威脅，而29%的受訪者表示不會，大約10%的人不確定。在這些認(rèn)為風(fēng)險會增加的受訪者中，他們認(rèn)為最大的原因是缺乏監(jiān)督和監(jiān)控能力（35%），其次是遠(yuǎn)程用戶入侵（33%）。其他原因還包括配置錯誤（29%）以及不成熟的控制和流程（20%）。

在云應(yīng)用過程中總會引發(fā)對違規(guī)的擔(dān)憂，盡管存在擔(dān)憂，但數(shù)據(jù)顯示，過去12個月內(nèi)已知的違規(guī)百分比基本保持不變。大約19%的受訪者表示他們確實(shí)遇到了違規(guī)行為，與2021年的結(jié)果幾乎相同。不過，這個比例可能會更高，因?yàn)榕c過去相比，現(xiàn)在“不確定”的比例已經(jīng)明顯增加，2022年有21%的受訪者“懷疑”他們可能已遭入侵只是無法證明，2021年這一比例為17%。

對于造成入侵的原因，今年響應(yīng)最多的是賬戶/憑據(jù)劫持（45%）和云服務(wù)/資源的錯誤配置（43%），這一結(jié)果與前兩次調(diào)查保持一致。2021年，第三大問題是不安全的接口或API（36%），而今年對這些API的利用是第三大問題（34%）。拒絕服務(wù)（DoS）攻擊從2021年的30%下降到26%（微小的變化，但值得注意）。圖5顯示了云攻擊所涉及因素的完整分解。

圖5：云攻擊涉及因素分布

這些變化可能反映了云的變化性質(zhì)，以及我們可用的提供商和控制的成熟度。許多控制元素完全由公共云提供商管理，因此對這一層的攻擊面大大減少。DDoS攻擊仍然會發(fā)生，但由于公共云提供商和第三方服務(wù)在過去幾年中越來越受歡迎，DDoS防護(hù)得到了改進(jìn)，因此它們在入侵場景中似乎并不普遍。但是，對于憑據(jù)的防護(hù)力度仍然不足，此外，云資源的錯誤配置也仍然是一個關(guān)鍵問題。

云中的安全和治理

隨著云使用的增長，組織需要開發(fā)和增強(qiáng)其流程和治理模型。在這方面我們看到了進(jìn)步：77%的組織制定了云安全和治理政策，而2021年這一比例為69%；而表示“沒有任何政策”的受訪者數(shù)量從2021年的23%下降至15%。這表明組織正在穩(wěn)步改進(jìn)和增強(qiáng)其治理和政策計劃，以與云提供商共同承擔(dān)云安全的責(zé)任。如果沒有適當(dāng)?shù)谋O(jiān)督和治理機(jī)制，許多云程序?qū)⒁恢笔艿接白覫T、配置問題以及缺乏云中可見性的困擾。

在過去幾年中，組織也一直在穩(wěn)步實(shí)施一些最常見的云部署安全控制措施，與內(nèi)部或直接管理的獨(dú)立平臺相比，許多控制措施現(xiàn)在也可作為安全即服務(wù)（SecaaS）產(chǎn)品提供在PaaS/IaaS環(huán)境中。與2021年一樣，VPN（45%）仍是實(shí)施最成功的內(nèi)部管理工具，但管理傳統(tǒng)VPN的組織比以前少了。2021年，網(wǎng)絡(luò)訪問控制、漏洞掃描和殺毒軟件也被吹捧為組織內(nèi)部管理的良好控制措施，但今年我們看到日志和事件管理和多因素身份驗(yàn)證也有所增加。

在今年的調(diào)查中，排名靠前的SecaaS服務(wù)是多因素身份驗(yàn)證和殺毒軟件，而CASB的實(shí)施有所下降。云中控制措施的完整分布如圖6所示。

圖6：云中控制措施的完整分布，集成的管理控制（藍(lán)色）、SecaaS（紅色）、兩者兼有（綠色）

這些數(shù)字在很大程度上都是積極的，表明基于云的SecaaS工具（這些服務(wù)中的大多數(shù)在2021年都處于10-15%的范圍內(nèi)，現(xiàn)在有幾個已超過20%）和混合選項(xiàng)的使用有所增加。此外，云API的使用和集成也在增長。2021年，51%的受訪者表示他們正在利用云提供商API來實(shí)施安全控制（自動化和云安全成熟度的關(guān)鍵要素），而現(xiàn)在這一數(shù)字高達(dá)61%。對于那些利用這些API的人來說，最常見的控制是身份和訪問管理（從2021年的第二位上升到第一位），其次是配置管理和日志記錄以及事件管理。完整分布詳見圖7。

圖7：API集成的云安全控制和功能完整分布

在大多數(shù)情況下，組織仍在內(nèi)部管理許多控制措施，但這種情況也正在慢慢改變。然而，組織已經(jīng)成功地在傳統(tǒng)的本地部署和云環(huán)境之間集成了一些控制措施，從而創(chuàng)建了混合云安全模型。在調(diào)研中，近67%的受訪者認(rèn)為他們的組織已成功集成殺毒軟件工具（高于2021年的64%），63%認(rèn)為其所在組織已集成多因素身份驗(yàn)證，53%認(rèn)為漏洞管理已很好地集成在混合模型中，約51%的受訪者確信他們已經(jīng)集成了網(wǎng)絡(luò)訪問控制（之前為47%）。其他顯示強(qiáng)大混合集成的技術(shù)領(lǐng)域還包括EDR、加密和IDS/IPS?；旌峡刂萍傻耐暾植既鐖D8所示。

圖8：混合控制集成的完整分布，藍(lán)色為現(xiàn)在，紅色為未來12個月

當(dāng)被問及“計劃在未來12個月內(nèi)集成哪些控制措施”，35%的人表示他們計劃集成取證和事件響應(yīng)（IR）工具，33%計劃集成云風(fēng)險評估工具，而事件管理和SIEM平臺排在第三位。這表明組織正在更多地關(guān)注檢測和事件響應(yīng)，對于許多團(tuán)隊來說，這長期以來一直是不成熟的控制和流程領(lǐng)域，但對云風(fēng)險的高度關(guān)注表明，企業(yè)也需要“以云為中心”的報告和控制分析。

而被問及“是否使用任何自動化和編排工具來改善云安全狀況”時，大多數(shù)安全團(tuán)隊表示正在增加使用自動化控制和監(jiān)控策略，這種趨勢已經(jīng)持續(xù)了幾年。去年調(diào)查中最常用的工具是用于實(shí)施IaC的模板技術(shù)（AWS CloudFormation、Azure Resource Manager模板、Terraform等）。在今年的調(diào)查中，這些IaC工具仍然被大量使用（54%），但已被無服務(wù)器技術(shù)（55%）所取代。

總體而言，自動化和編排工具的使用已全面增加，預(yù)計隨著組織提高云部署的速度和效率，這一趨勢將繼續(xù)下去。有關(guān)如今使用的自動化/編排工具/方法的完整細(xì)分，請參見圖9。

圖9：自動化/編排工具/方法的完整細(xì)

云身份和訪問管理（IAM）

鑒于身份對云實(shí)施（對于最終用戶服務(wù)以及云基礎(chǔ)設(shè)施和應(yīng)用程序部署）的重要性，我們詢問了安全團(tuán)隊“如何利用云中的身份功能和工具”。超過一半（53%）的受訪者正在將Active Directory等身份存儲同步到云目錄服務(wù)，從而實(shí)現(xiàn)與其他云服務(wù)的聯(lián)合，并在控制用戶對云資產(chǎn)的訪問方面變得更加靈活。大約38%的受訪者將身份映射到云提供商提供的身份，超過三分之一的受訪者使用身份即服務(wù)（IDaaS）進(jìn)行聯(lián)合和單點(diǎn)登錄（SSO）。其他人則利用內(nèi)部身份套件進(jìn)行混合云集成，或利用IAM策略來控制云中的對象訪問和行為（詳見圖10）。

圖10：受訪組織利用云中的身份功能和工具的方式分布