信息化觀察網

本文來自微信公眾號“安全牛”。

近日，Palo Alto Networks公司發(fā)布了《2023年云原生安全狀況報告》。報告數據顯示，企業(yè)組織目前平均需要使用30種以上的安全工具來構建云應用的整體安全性，其中有1/3的產品專門應用于云安全。但這種復雜性并沒有帶來可靠的安全性，反而導致日常安全運營問題不斷出現。報告指出，盡管有超過60%的受訪企業(yè)已經使用了云服務3年以上時間，但云安全運營維護的復雜性正在阻礙它們進一步將數字化業(yè)務系統(tǒng)向云上遷移。

云安全的關鍵挑戰(zhàn)

在本次報告研究中，共對全球2500家企業(yè)的高級管理者進行了調查，受訪高管們普遍認為，他們對其組織目前的云安全狀況并不滿意，希望能夠進一步提高對多云應用的可見性以及對安全事件的調查和響應能力。

有75%的受訪者表示，企業(yè)目前應用了過多的單點式安全產品，這樣不僅容易造成安全防護的“盲點”，還影響了他們優(yōu)先考慮風險和預防云安全威脅的能力。但他們難以確定在這些安全工具中，哪些是必須的，哪些是無用的。

33%的公司使用多個廠商安全產品來保護云應用

報告研究發(fā)現：只有約10%的受訪企業(yè)表示，能夠在云安全事件發(fā)生后的一小時內發(fā)現、控制和解決威脅；68%的受訪企業(yè)表示，無法在一小時內檢測到安全事件的發(fā)生；而在那些能夠做到這一點的企業(yè)中，近70%的企業(yè)無法在一小時內有效做出響應。

42%受訪企業(yè)的平均云安全修復時間在增加

通過調研分析，報告研究人員總結了當前企業(yè)在實現全面云安全性過程中的主要挑戰(zhàn)：

跨團隊的安全管理

目前企業(yè)通常采用云服務提供商和自身之間的責任共擔模式，但這是不夠的。企業(yè)還需要向內看，消除安全團隊和各業(yè)務部門之間的“孤島”，因為它們阻礙了貫穿開發(fā)、運營和安全全周期的安全防護流程。

原生化安全能力嵌入

云計算應用需要體系化的安全防護能力，因此要在云應用程序開發(fā)使用的每個階段（從代碼研發(fā)到運行時）嵌入合適的云安全解決方案。

云安全工具的正確使用

由于云保護需要面對“跨代碼、工作負載、身份、數據等以及跨多個執(zhí)行環(huán)境（如容器、無服務器和虛擬化平臺）的指數級云資產”，因此在不同階段選擇合適的工具非常關鍵，而理想的云安全解決方案應該是全面的、及時的、可擴展的。

安全漏洞可見性增強

在本次報告中，研究人員將云安全漏洞管理稱為“維護應用程序安全的圣杯”。而要實現這一目標，就意味著首先要能夠準確掌握云的規(guī)模、運行速度和靈活性，并在此基礎上通過近乎實時的威脅和漏洞檢測來提升云的安全性。

云安全建設的優(yōu)化建議

報告調研發(fā)現，近80%的受訪企業(yè)每周都要在實際生產環(huán)境中部署新的軟件代碼或進行應用版本更新，而有近40%的受訪企業(yè)每天都要在云上提交新的應用系統(tǒng)代碼。因此，沒有企業(yè)能承擔忽視云工作負載安全性的后果。但隨著云應用和擴展的發(fā)展，企業(yè)組織需要采取更優(yōu)化的云安全防護方法，實現跨多云環(huán)境的應用系統(tǒng)保護。

通過對調研數據的統(tǒng)計分析，研究人員總結了企業(yè)在選擇云安全防護方案時，最關鍵的一些考慮因素：

●易于使用，便于管理；

●具備較先進的防護功能；

●是否會對企業(yè)現有業(yè)務流程和工作效率構成影響；

●較熟悉的方案生產商或服務商，便于溝通、協(xié)作；

●有競爭力的價格和合理的方案建設成本。

為了改善對云安全防護的薄弱態(tài)勢，安全專家建議企業(yè)組織應該積極增強對云應用異?；蚩梢尚袨榈淖R別能力，提高云資產的可見性，同時由單點式工具部署轉向平臺化的方案構建。具體建議還包括：

將安全能力原生化

報告認為，企業(yè)應該在云應用的所有階段配置安全措施。這要求安全團隊全面云中的應用系統(tǒng)從開發(fā)到生產再到部署使用的整個過程，以便為安全能力找到影響性最小的嵌入點。組織可以從提高云安全漏洞的可見性和管理修復開始。此外，定期開展云容器安全掃描也是獲得開發(fā)團隊認可支持的重要第一步。

采用新一代威脅防護技術

部署先進的威脅防護技術可以更有效地阻止零日攻擊，并在攻擊活動真實發(fā)生時快速遏制橫向移動。此外，企業(yè)應該確保“最小權限訪問”策略的有效落實。Palo Alto安全專家建議，組織應該為云上的關鍵任務應用部署預防性的安全措施，減少可能出現的安全風險損失。

防止安全工具“蔓延”

不要在云環(huán)境中為某些特定的安全應用使用多個甚至幾十個安全工具，這樣就會導致所謂的工具“蔓延”情況出現，使云安全團隊日常運維工作陷入困境，并造成安全可見性的不足。報告研究人員建議，企業(yè)組織應該每兩到五年時間，就重新評估以此云安全策略的合理性與有效性，并重新設置云安全防護的目標。

實現安全能力整合

通過將數據和安全控制能力統(tǒng)一到一個完整的平臺，企業(yè)組織可以獲得更全面的云安全風險視圖，而不是由幾個孤立的工具提供的局部安全性視圖。通過整合工具，安全團隊還可以自動關聯并解決云應用生命周期中最重要的安全問題，優(yōu)化提升防護資源的分配和效果。