云迁移安全先导篇:2020云安全趋势及主要威胁

2020-11-23 14:11:55 浏览数 (1)

导读:

企业持续快速将工作负载从数据中心迁移到云上,利用无服务器、容器和机器学习等新技术,以获得效率提升、更好的可伸缩性和更快的部署等收益。

随着公有云的采用持续激增,特别是在2020年疫情危机和随之而来的向远程办公加速转变的情况下,人们依然对云安全十分担忧。

因此,这份2020年云安全报告旨在探讨企业如何应对云环境中不断演变的安全威胁,以及合格安全人员的持续短缺。

主要发现

尽管云计算得到快速应用,但对于云用户来说,安全性仍然是一个关键问题。大多数网络安全专业人士(94%)认为,他们至少对公有云安全有一定程度的担忧,这一比例较去年调查数据略有上升。 在采用云计算的主要障碍中,企业提到缺乏合格的专业人员(37%)是加快采用云计算的最大阻碍——去年的调查中排名第五。 连续四年,培训和认证IT员工(61%)被列为组织部署的主要策略之一,以确保满足不断变化的安全需求。58%的受访者依赖于云供应商的原生安全工具,34%的受访者希望雇佣更多致力于云安全的员工。 约六成企业预计云安全预算将在未来一年内增加。平均而言,企业将27%的安全预算分配给云安全。 当被问及组织如何评价他们的整体安全准备时,69%的企业觉得他们团队的安全准备等于或低于平均水平。只有31%的人认为自己高于平均水平。其中80%的人认为团队将受益于云安全培训和/或认证。 调查中反复出现的一个主题是,合格的网络安全人员持续短缺,而且所有员工都缺乏应有的安全意识和安全技能。网络安全专业人士认为,59%的员工将从安全培训和/或工作认证中受益。

调研结果

公有云安全

尽管云计算得到快速应用,但对于云用户来说,安全性仍然是一个关键问题。大多数网络安全专业人士(94%)认为,他们至少对公有云安全有一定程度的担忧,这一比例较去年调查数据(93%)略有上升。

图1 企业对公有云安全的关心程度

大多数组织对其云安全态势没有信心(66%)。虽然信心从去年的84%下降了18个百分点,但仍然存在一定程度的过度自信。总的来看依旧是用户对云上安全不放心,也许是前期上云过程中的过度自信,在真正在云环境下运行业务时,各类安全问题才开始显现,以至于云用户对自身安全态势有了新的认识,不再过度自信。

图2 企业对自身云安全态势的自信程度

云安全所担忧的问题

作为云服务的一部分,云供应商开始提供越来越健壮的安全措施,但是最终负责保护云上工作负载的依旧是用户自己。在调查中,最突出的云安全挑战是关于数据泄漏(69%,比去年上升5个百分点)和数据隐私(66%,比去年上升4个百分点)。紧随其后的是对凭据意外暴露和事件响应的担忧(从去年的29%上升到44%)。今年看到数据主权问题开始进入大家的视线,因为最近关于数据出境的一些讨论和国际政策,争论比较激烈,具体可以参考《数据安全法(草案)》相关的分析文章。

图3 最担忧的云安全问题

在运维安全痛点方面,随着越来越多的工作负载迁移到云上,网络安全专业人士已经意识到保护这些工作负载的复杂性。缺乏合格的安全人员(47%)从去年的第三名上升到了排行榜的第一名,这是企业上云后普遍开始遇到的一个问题,目前主要方式还是选择第三方服务机构来进行管理,但这并非适合所有企业。其次是合规性(40%)和跨云及本地环境一致性的安全策略(36%)。其他方面可以发现,是近2年来大家一直在关注的问题,安全可视化大屏和监控,自动化监测与响应平台(SOAR、SOC)、DevSecOps以及遗留系统迁移上云的技术集成等问题。

图4 运维安全痛点问题

上云的阻碍

在采用云计算的障碍中,企业提到缺少专业员工(37%)是加速上云的最大障碍——去年的调查中排名第五。接下来是与现有IT环境集成方面的挑战,以及数据安全问题(并列35%)。

图5 上云的主要阻碍

云安全的最大威胁

当被问及公有云面临的最大安全威胁是什么时,组织将云平台的错误配置(68%)列为头号问题,高于去年的第三名排名。其次是未授权访问(58%)、不安全接口(52%)和帐户劫持(50%)。与去年数据相比,前三名的威胁没有变化,这几个问题稳居前三,只是占比明显提升,分析应该是上云用户逐渐增加,并且开始适应云上环境,一些普遍问题开始扩散。新上榜的一个威胁是来自国家级的网络攻击,这个内涵就太多了,这里不再展开,也不是本报告分析的重点。

图6 云安全的最大威胁

传统工具云上集成情况

随着工作负载不断向云上迁移,组织面临着云计算带来的安全挑战。大多数遗留安全工具都不是为云而设计的。82%的受访者表示,传统的安全解决方案要么根本无法在云环境中工作,要么功能有限——与去年的调查(66%)相比,情况明显恶化。

图7 遗留安全工具在云上使用情况

云安全解决方案的驱动因素

企业快速上云是云计算不可否认的一些优势所驱动的。企业认识到部署云安全解决方案的一些关键驱动因素,包括更快的部署时间和成本节约(41%持平)。紧随其后的是在补丁和软件更新方面的投入减少(40%)。随着上云的普及,一些成熟的解决方案开始被推广,企业上云速度越来越快,云上运营成本越来越低,使企业尝到了云计算的甜头。一些自动化工具和流程的应用,大大减少企业资源的投入,可以节省更多时间对业务和安全进行优化。相比去年数据,没有太大变化,占比略有提升。这其中也有疫情因素,似的企业不得不改变传统的工作和交付方式。

图8 云上解决方案的驱动因素

采用云安全方案的阻碍

尽管云安全解决方案提供了显著的优势,但采用它的障碍仍然存在。当涉及到业务转换和上云时,必须将三个重要方面结合起来:人、流程和技术。调查显示,企业面临的最大挑战不是技术,而是人员和流程。员工专业知识和培训(55%,去年为41%)仍然是最大的障碍,其次是预算(46%,去年为40%)、数据隐私问题(37%)和缺乏与本地安全工具的集成(36%)。与去年调查的结果基本相同,但占比有所提高。

图9 阻碍云解决方案采用的主要问题

上云收益

当被问及云计算的好处时,参与调查的企业普遍觉得云计算实现了之前的承诺:灵活的功能和弹性(51%)、改善可用性和业务连续性(46%)和提高敏捷性 (45%)。排名前三的收益较去年没有变化,但占比有较大幅提高(去年分别为39%、34%和32%)。

图10 上云的主要收益

强化云安全的途径

培训和认证IT员工(61%)连续4年被列为组织部署的主要策略,以确保满足不断变化的安全需求。58%的受访者依赖于云供应商的原生安全工具,34%的受访者希望雇佣更多致力于云安全的员工。

图11 强化云安全的主要方式

安全备战情况

当被问及组织如何评价他们的整体安全准备时,69%的企业觉得他们团队的安全准备等于或低于平均水平。只有31%的人认为自己高于平均水平。其中80%的人认为团队将受益于云安全培训和/或认证。

调查中反复出现的一个主题是,合格的网络安全人员持续短缺,而且所有员工都缺乏应有的安全意识和安全技能。网络安全专业人士认为,59%的员工将从安全培训和/或工作认证中受益。

图12 多数人认为员工会从培训或认证中受益

当谈到安全培训主题的优先级时,调查中的网络安全专家选择了云网络安全(66%)、应用安全(45%)和基于风险的框架(43%)作为培训和教育成功最有价值的主题。相较于去年,前两位没有变化,只是占比增加,但是第三位由事件响应变为基于风险的框架(去年为25%),还是那句话,刚到一个新环境,稍微适应之后各种问题开始显现,目前企业关心的就是云上安全整体解决方案,而这就需要一个适用于云上的安全风险框架。

图13 培训重点

云安全预算情况

约六成企业预计云安全预算将在未来一年内增加。平均来看,企业将27%的安全预算分配给云安全。尽管这个比例不算大,但是企业开始重视云上安全问题(以上各方面问题占比较比去年均有所提高),随着时间推移,预计预算会持续增加。

图14 云安全预算

报告来源于Cybersecurity Insiders,作者Holger Schulze,CEO and Founder.报告中数据主要来自ISC2。 共计调查了653名网络安全专业人员,旨在发现云用户是如何在云中应对安全威胁,以及培训、认证和最佳实践。受访者范围从技术主管到IT安全从业人员,代表了多个行业中不同规模的企业。

在云安全背景下,接下来的文章将和大家分享国内上云情况以及企业如何进行上云迁移。

来源:FreeBuf.COM

0 人点赞