一項(xiàng)調(diào)查表明，基于云計(jì)算的業(yè)務(wù)計(jì)劃正在加速實(shí)施，而企業(yè)的安全團(tuán)隊(duì)需要以更快的速度跟上云采用的步伐。

[[272965]]

根據(jù)網(wǎng)絡(luò)安全管理廠商FireMon公司日前發(fā)布的2019年混合云安全狀態(tài)的調(diào)查報(bào)告表明，受訪的信息安全專業(yè)人士中有60%的人表示，企業(yè)對(duì)云計(jì)算的采用超過(guò)了其安全團(tuán)隊(duì)跟上這些應(yīng)用安全步伐的能力。

調(diào)查結(jié)果強(qiáng)調(diào)了這樣一個(gè)事實(shí)，即云計(jì)算業(yè)務(wù)計(jì)劃的速度阻礙了受訪者保護(hù)和管理混合云環(huán)境的能力，但企業(yè)的安全人員通常不會(huì)參與云計(jì)算業(yè)務(wù)計(jì)劃。

400名信息安全專業(yè)人員參與了這個(gè)調(diào)查，旨在揭示企業(yè)擴(kuò)展混合云計(jì)劃時(shí)安全性和網(wǎng)絡(luò)專業(yè)人員面臨的挑戰(zhàn)。大多數(shù)受訪者位于北美地地區(qū)(74%)，其次是亞太地區(qū)(12.6%)、歐洲、中東和非洲(10.1%)，以及拉丁美洲(3.3%)。

調(diào)查發(fā)現(xiàn)，只有56%的受訪者表示網(wǎng)絡(luò)安全、安全運(yùn)營(yíng)或安全合規(guī)團(tuán)隊(duì)需要對(duì)云安全負(fù)責(zé)。在剩余的44%的案例中，IT和云計(jì)算團(tuán)隊(duì)、應(yīng)用程序所有者或安全組織以外的其他團(tuán)隊(duì)需要對(duì)云安全負(fù)責(zé)。

同樣，安全性與DevOps之間的關(guān)系在不同組織之間是不一致的，調(diào)查報(bào)告稱，隨著更多的企業(yè)在云中部署“即服務(wù)”模型，這可能會(huì)對(duì)云計(jì)算的安全控制的一致性產(chǎn)生負(fù)面影響。

在某些情況下，DevOps和安全性完全一致，并且可以很好地協(xié)同工作，但在其他情況下，這種關(guān)系很難維持。近40%的受訪者表示他們同時(shí)使用基礎(chǔ)設(shè)施即服務(wù)(IaaS)、平臺(tái)即服務(wù)(PaaS)和軟件即服務(wù)(SaaS)模型。

雖然30.7%的受訪者表示他們是DevOps團(tuán)隊(duì)的一員，但作為新興DevSecOps趨勢(shì)的一部分，30%的受訪者表示他們與DevOps的關(guān)系復(fù)雜、有爭(zhēng)議、不值得一提或根本不存在。

調(diào)查發(fā)現(xiàn)，企業(yè)通過(guò)在內(nèi)部部署多個(gè)系統(tǒng)以及跨多個(gè)私有云和公共云部署無(wú)意中將復(fù)雜性引入其環(huán)境。由于缺乏管理和保護(hù)混合云環(huán)境所需的集成工具和培訓(xùn)，這將變得更加復(fù)雜。

受訪者還指出，缺乏整合工具，缺乏合格人員或使用工具的培訓(xùn)不足，這是實(shí)現(xiàn)跨環(huán)境安全管理的主要障礙。

雖然59%的受訪者表示他們?cè)谧约旱沫h(huán)境中使用兩種或更多種不同的防火墻，67%的受訪者表示，他們也在使用兩種或更多公共云平臺(tái)，但只有28%的受訪者表示他們正在使用可跨多種環(huán)境工作的工具來(lái)管理網(wǎng)絡(luò)安全。

調(diào)查報(bào)告稱，近36%的受訪者表示，他們正在為每個(gè)環(huán)境或人工流程使用本機(jī)工具，這意味著他們正在混合環(huán)境的每個(gè)組件中以獨(dú)立的方式管理安全。

超過(guò)四分之一的受訪者表示，他們保護(hù)公共云環(huán)境的三大挑戰(zhàn)是缺乏可視性、缺乏培訓(xùn)，以及缺乏控制。

調(diào)查報(bào)告稱，向混合云環(huán)境的過(guò)渡極大地?cái)U(kuò)展了企業(yè)攻擊面，從而擴(kuò)大了必須保護(hù)的資產(chǎn)范圍，但安全資源并沒有以相同的規(guī)模擴(kuò)展。

預(yù)算和人員配置是引用的主要資源限制因素，57.5%的受訪者表示其安全預(yù)算的不到25%用于云安全，52%的受訪者表示他們擁有10人或人數(shù)更少的安全團(tuán)隊(duì)。

Firemon公司技術(shù)聯(lián)盟副總裁Tim Woods說(shuō)：“我們的調(diào)查結(jié)果令人信服，但并不令人驚訝。在復(fù)雜的大型企業(yè)環(huán)境中，預(yù)算限制、缺乏明確的團(tuán)隊(duì)負(fù)責(zé)云安全，以及缺乏跨混合云環(huán)境管理安全的標(biāo)準(zhǔn)，都削弱了組織保護(hù)其云業(yè)務(wù)計(jì)劃的能力。只有新一代的安全技術(shù)和流程能夠與DevOps完全集成，并在混合環(huán)境中提供端到端的可視性、持續(xù)的安全性和合規(guī)性，才能解決這個(gè)問(wèn)題。”

Woods表示，該調(diào)查清楚地表明，許多公司已不再符合中央安全政策或安全原則，即在其混合環(huán)境中提供必要的安全保護(hù)。

他說(shuō)：“在缺乏簡(jiǎn)明的安全規(guī)則手冊(cè)的情況下，各部門在管理自己的安全控制，他們將盡最大努力做到這一點(diǎn)。但這可能增加風(fēng)險(xiǎn)。如果分散的安全責(zé)任是云計(jì)算優(yōu)先戰(zhàn)略的未來(lái)，那么我們必須尋找一種方法來(lái)重新建立一個(gè)全球安全管理戰(zhàn)略，使業(yè)務(wù)意圖與合規(guī)意圖、安全意圖相一致。安全實(shí)施應(yīng)緊密反映中央安全原則。安全性必須是應(yīng)用程序部署的一個(gè)組成部分，這兩者的部署都是同步的。”