企业持续快速将工作负载从数据中心迁移到云上,利用无服务器、容器和机器学习等新技术,以获得效率提升、更好的可伸缩性和更快的部署等收益。
随着公有云的采用持续激增,特别是在2020年疫情危机和随之而来的向远程办公加速转变的情况下,人们依然对云安全十分担忧。
因此,这份2020年云安全报告旨在探讨企业如何应对云环境中不断演变的安全威胁,以及合格安全人员的持续短缺。
主要发现
尽管云计算得到快速应用,但对于云用户来说,安全性仍然是一个关键问题。大多数网络安全专业人士(94%)认为,他们至少对公有云安全有一定程度的担忧,这一比例较去年调查数据略有上升。
在采用云计算的主要障碍中,企业提到缺乏合格的专业人员(37%)是加快采用云计算的最大阻碍——去年的调查中排名第五。
连续四年,培训和认证IT员工(61%)被列为组织部署的主要策略之一,以确保满足不断变化的安全需求。58%的受访者依赖于云供应商的原生安全工具,34%的受访者希望雇佣更多致力于云安全的员工。
约六成企业预计云安全预算将在未来一年内增加。平均而言,企业将27%的安全预算分配给云安全。
当被问及组织如何评价他们的整体安全准备时,69%的企业觉得他们团队的安全准备等于或低于平均水平。只有31%的人认为自己高于平均水平。其中80%的人认为团队将受益于云安全培训和/或认证。
调查中反复出现的一个主题是,合格的网络安全人员持续短缺,而且所有员工都缺乏应有的安全意识和安全技能。网络安全专业人士认为,59%的员工将从安全培训和/或工作认证中受益。
调研结果
1. 公有云安全
尽管云计算得到快速应用,但对于云用户来说,安全性仍然是一个关键问题。大多数网络安全专业人士(94%)认为,他们至少对公有云安全有一定程度的担忧,这一比例较去年调查数据(93%)略有上升。
图1 企业对公有云安全的关心程度
大多数组织对其云安全态势没有信心(66%)。虽然信心从去年的84%下降了18个百分点,但仍然存在一定程度的过度自信。总的来看依旧是用户对云上安全不放心,也许是前期上云过程中的过度自信,在真正在云环境下运行业务时,各类安全问题才开始显现,以至于云用户对自身安全态势有了新的认识,不再过度自信。
图2 企业对自身云安全态势的自信程度
2. 云安全所担忧的问题
作为云服务的一部分,云供应商开始提供越来越健壮的安全措施,但是最终负责保护云上工作负载的依旧是用户自己。在调查中,最突出的云安全挑战是关于数据泄漏(69%,比去年上升5个百分点)和数据隐私(66%,比去年上升4个百分点)。紧随其后的是对凭据意外暴露和事件响应的担忧(从去年的29%上升到44%)。今年看到数据主权问题开始进入大家的视线,因为最近关于数据出境的一些讨论和国际政策,争论比较激烈,具体可以参考《数据安全法(草案)》相关的分析文章。
图3 最担忧的云安全问题
在运维安全痛点方面,随着越来越多的工作负载迁移到云上,网络安全专业人士已经意识到保护这些工作负载的复杂性。缺乏合格的安全人员(47%)从去年的第三名上升到了排行榜的第一名,这是企业上云后普遍开始遇到的一个问题,目前主要方式还是选择第三方服务机构来进行管理,但这并非适合所有企业。其次是合规性(40%)和跨云及本地环境一致性的安全策略(36%)。其他方面可以发现,是近2年来大家一直在关注的问题,安全可视化大屏和监控,自动化监测与响应平台(SOAR、SOC)、DevSecOps以及遗留系统迁移上云的技术集成等问题。
图4 运维安全痛点问题
3. 上云的阻碍
在采用云计算的障碍中,企业提到缺少专业员工(37%)是加速上云的最大障碍——去年的调查中排名第五。接下来是与现有IT环境集成方面的挑战,以及数据安全问题(并列35%)。
图5 上云的主要阻碍
4. 云安全的最大威胁
当被问及公有云面临的最大安全威胁是什么时,组织将云平台的错误配置(68%)列为头号问题,高于去年的第三名排名。其次是未授权访问(58%)、不安全接口(52%)和帐户劫持(50%)。与去年数据相比,前三名的威胁没有变化,这几个问题稳居前三,只是占比明显提升,分析应该是上云用户逐渐增加,并且开始适应云上环境,一些普遍问题开始扩散。新上榜的一个威胁是来自国家级的网络攻击,这个内涵就太多了,这里不再展开,也不是本报告分析的重点。
图6 云安全的最大威胁
5. 传统工具云上集成情况
随着工作负载不断向云上迁移,组织面临着云计算带来的安全挑战。大多数遗留安全工具都不是为云而设计的。82%的受访者表示,传统的安全解决方案要么根本无法在云环境中工作,要么功能有限——与去年的调查(66%)相比,情况明显恶化。
图7 遗留安全工具在云上使用情况
6. 云安全解决方案的驱动因素
企业快速上云是云计算不可否认的一些优势所驱动的。企业认识到部署云安全解决方案的一些关键驱动因素,包括更快的部署时间和成本节约(41%持平)。紧随其后的是在补丁和软件更新方面的投入减少(40%)。随着上云的普及,一些成熟的解决方案开始被推广,企业上云速度越来越快,云上运营成本越来越低,使企业尝到了云计算的甜头。一些自动化工具和流程的应用,大大减少企业资源的投入,可以节省更多时间对业务和安全进行优化。相比去年数据,没有太大变化,占比略有提升。这其中也有疫情因素,似的企业不得不改变传统的工作和交付方式。
图8 云上解决方案的驱动因素
7. 采用云安全方案的阻碍
尽管云安全解决方案提供了显著的优势,但采用它的障碍仍然存在。当涉及到业务转换和上云时,必须将三个重要方面结合起来:人、流程和技术。调查显示,企业面临的最大挑战不是技术,而是人员和流程。员工专业知识和培训(55%,去年为41%)仍然是最大的障碍,其次是预算(46%,去年为40%)、数据隐私问题(37%)和缺乏与本地安全工具的集成(36%)。与去年调查的结果基本相同,但占比有所提高。
图9 阻碍云解决方案采用的主要问题
8. 上云收益
当被问及云计算的好处时,参与调查的企业普遍觉得云计算实现了之前的承诺:灵活的功能和弹性(51%)、改善可用性和业务连续性(46%)和提高敏捷性 (45%)。排名前三的收益较去年没有变化,但占比有较大幅提高(去年分别为39%、34%和32%)。
图10 上云的主要收益
9. 强化云安全的途径
培训和认证IT员工(61%)连续4年被列为组织部署的主要策略,以确保满足不断变化的安全需求。58%的受访者依赖于云供应商的原生安全工具,34%的受访者希望雇佣更多致力于云安全的员工。
图11 强化云安全的主要方式
10. 安全备战情况
当被问及组织如何评价他们的整体安全准备时,69%的企业觉得他们团队的安全准备等于或低于平均水平。只有31%的人认为自己高于平均水平。其中80%的人认为团队将受益于云安全培训和/或认证。
调查中反复出现的一个主题是,合格的网络安全人员持续短缺,而且所有员工都缺乏应有的安全意识和安全技能。网络安全专业人士认为,59%的员工将从安全培训和/或工作认证中受益。
图12 多数人认为员工会从培训或认证中受益
当谈到安全培训主题的优先级时,调查中的网络安全专家选择了云网络安全(66%)、应用安全(45%)和基于风险的框架(43%)作为培训和教育成功最有价值的主题。相较于去年,前两位没有变化,只是占比增加,但是第三位由事件响应变为基于风险的框架(去年为25%),还是那句话,刚到一个新环境,稍微适应之后各种问题开始显现,目前企业关心的就是云上安全整体解决方案,而这就需要一个适用于云上的安全风险框架。
图13 培训重点
11. 云安全预算情况
约六成企业预计云安全预算将在未来一年内增加。平均来看,企业将27%的安全预算分配给云安全。尽管这个比例不算大,但是企业开始重视云上安全问题(以上各方面问题占比较比去年均有所提高),随着时间推移,预计预算会持续增加。
版权申明:本站文章均来自网络,如有侵权,请联系01056159998 邮箱:itboby@foxmail.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有