企業(yè)持續(xù)快速將工作負載從數(shù)據(jù)中心遷移到云上，利用無服務(wù)器、容器和機器學習等新技術(shù)，以獲得效率提升、更好的可伸縮性和更快的部署等收益。

隨著公有云的采用持續(xù)激增，特別是在2020年疫情危機和隨之而來的向遠程辦公加速轉(zhuǎn)變的情況下，人們依然對云安全十分擔憂。

因此，這份2020年云安全報告旨在探討企業(yè)如何應(yīng)對云環(huán)境中不斷演變的安全威脅，以及合格安全人員的持續(xù)短缺。

[[352483]]

主要發(fā)現(xiàn)

盡管云計算得到快速應(yīng)用，但對于云用戶來說，安全性仍然是一個關(guān)鍵問題。大多數(shù)網(wǎng)絡(luò)安全專業(yè)人士(94%)認為，他們至少對公有云安全有一定程度的擔憂，這一比例較去年調(diào)查數(shù)據(jù)略有上升。

在采用云計算的主要障礙中，企業(yè)提到缺乏合格的專業(yè)人員(37%)是加快采用云計算的最大阻礙——去年的調(diào)查中排名第五。

連續(xù)四年，培訓和認證IT員工(61%)被列為組織部署的主要策略之一，以確保滿足不斷變化的安全需求。58%的受訪者依賴于云供應(yīng)商的原生安全工具，34%的受訪者希望雇傭更多致力于云安全的員工。

約六成企業(yè)預(yù)計云安全預(yù)算將在未來一年內(nèi)增加。平均而言，企業(yè)將27%的安全預(yù)算分配給云安全。

當被問及組織如何評價他們的整體安全準備時，69%的企業(yè)覺得他們團隊的安全準備等于或低于平均水平。只有31%的人認為自己高于平均水平。其中80%的人認為團隊將受益于云安全培訓和/或認證。

調(diào)查中反復出現(xiàn)的一個主題是，合格的網(wǎng)絡(luò)安全人員持續(xù)短缺，而且所有員工都缺乏應(yīng)有的安全意識和安全技能。網(wǎng)絡(luò)安全專業(yè)人士認為，59%的員工將從安全培訓和/或工作認證中受益。

調(diào)研結(jié)果

1. 公有云安全

盡管云計算得到快速應(yīng)用，但對于云用戶來說，安全性仍然是一個關(guān)鍵問題。大多數(shù)網(wǎng)絡(luò)安全專業(yè)人士(94%)認為，他們至少對公有云安全有一定程度的擔憂，這一比例較去年調(diào)查數(shù)據(jù)(93%)略有上升。

大多數(shù)組織對其云安全態(tài)勢沒有信心(66%)。雖然信心從去年的84%下降了18個百分點，但仍然存在一定程度的過度自信?？偟膩砜匆琅f是用戶對云上安全不放心，也許是前期上云過程中的過度自信，在真正在云環(huán)境下運行業(yè)務(wù)時，各類安全問題才開始顯現(xiàn)，以至于云用戶對自身安全態(tài)勢有了新的認識，不再過度自信。

圖2 企業(yè)對自身云安全態(tài)勢的自信程度

2. 云安全所擔憂的問題

作為云服務(wù)的一部分，云供應(yīng)商開始提供越來越健壯的安全措施，但是最終負責保護云上工作負載的依舊是用戶自己。在調(diào)查中，最突出的云安全挑戰(zhàn)是關(guān)于數(shù)據(jù)泄漏(69%，比去年上升5個百分點)和數(shù)據(jù)隱私(66%，比去年上升4個百分點)。緊隨其后的是對憑據(jù)意外暴露和事件響應(yīng)的擔憂(從去年的29%上升到44%)。今年看到數(shù)據(jù)主權(quán)問題開始進入大家的視線，因為最近關(guān)于數(shù)據(jù)出境的一些討論和國際政策，爭論比較激烈，具體可以參考《數(shù)據(jù)安全法(草案)》相關(guān)的分析文章。

圖3 最擔憂的云安全問題

在運維安全痛點方面，隨著越來越多的工作負載遷移到云上，網(wǎng)絡(luò)安全專業(yè)人士已經(jīng)意識到保護這些工作負載的復雜性。缺乏合格的安全人員(47%)從去年的第三名上升到了排行榜的第一名，這是企業(yè)上云后普遍開始遇到的一個問題，目前主要方式還是選擇第三方服務(wù)機構(gòu)來進行管理，但這并非適合所有企業(yè)。其次是合規(guī)性(40%)和跨云及本地環(huán)境一致性的安全策略(36%)。其他方面可以發(fā)現(xiàn)，是近2年來大家一直在關(guān)注的問題，安全可視化大屏和監(jiān)控，自動化監(jiān)測與響應(yīng)平臺(SOAR、SOC)、DevSecOps以及遺留系統(tǒng)遷移上云的技術(shù)集成等問題。

圖4 運維安全痛點問題

3. 上云的阻礙

在采用云計算的障礙中，企業(yè)提到缺少專業(yè)員工(37%)是加速上云的最大障礙——去年的調(diào)查中排名第五。接下來是與現(xiàn)有IT環(huán)境集成方面的挑戰(zhàn)，以及數(shù)據(jù)安全問題(并列35%)。

圖5 上云的主要阻礙

4. 云安全的最大威脅

當被問及公有云面臨的最大安全威脅是什么時，組織將云平臺的錯誤配置(68%)列為頭號問題，高于去年的第三名排名。其次是未授權(quán)訪問(58%)、不安全接口(52%)和帳戶劫持(50%)。與去年數(shù)據(jù)相比，前三名的威脅沒有變化，這幾個問題穩(wěn)居前三，只是占比明顯提升，分析應(yīng)該是上云用戶逐漸增加，并且開始適應(yīng)云上環(huán)境，一些普遍問題開始擴散。新上榜的一個威脅是來自國家級的網(wǎng)絡(luò)攻擊，這個內(nèi)涵就太多了，這里不再展開，也不是本報告分析的重點。

圖6 云安全的最大威脅

5. 傳統(tǒng)工具云上集成情況

隨著工作負載不斷向云上遷移，組織面臨著云計算帶來的安全挑戰(zhàn)。大多數(shù)遺留安全工具都不是為云而設(shè)計的。82%的受訪者表示，傳統(tǒng)的安全解決方案要么根本無法在云環(huán)境中工作，要么功能有限——與去年的調(diào)查(66%)相比，情況明顯惡化。

圖7 遺留安全工具在云上使用情況

6. 云安全解決方案的驅(qū)動因素

企業(yè)快速上云是云計算不可否認的一些優(yōu)勢所驅(qū)動的。企業(yè)認識到部署云安全解決方案的一些關(guān)鍵驅(qū)動因素，包括更快的部署時間和成本節(jié)約(41%持平)。緊隨其后的是在補丁和軟件更新方面的投入減少(40%)。隨著上云的普及，一些成熟的解決方案開始被推廣，企業(yè)上云速度越來越快，云上運營成本越來越低，使企業(yè)嘗到了云計算的甜頭。一些自動化工具和流程的應(yīng)用，大大減少企業(yè)資源的投入，可以節(jié)省更多時間對業(yè)務(wù)和安全進行優(yōu)化。相比去年數(shù)據(jù)，沒有太大變化，占比略有提升。這其中也有疫情因素，似的企業(yè)不得不改變傳統(tǒng)的工作和交付方式。

圖8 云上解決方案的驅(qū)動因素

7. 采用云安全方案的阻礙

盡管云安全解決方案提供了顯著的優(yōu)勢，但采用它的障礙仍然存在。當涉及到業(yè)務(wù)轉(zhuǎn)換和上云時，必須將三個重要方面結(jié)合起來：人、流程和技術(shù)。調(diào)查顯示，企業(yè)面臨的最大挑戰(zhàn)不是技術(shù)，而是人員和流程。員工專業(yè)知識和培訓(55%，去年為41%)仍然是最大的障礙，其次是預(yù)算(46%，去年為40%)、數(shù)據(jù)隱私問題(37%)和缺乏與本地安全工具的集成(36%)。與去年調(diào)查的結(jié)果基本相同，但占比有所提高。

圖9 阻礙云解決方案采用的主要問題

8. 上云收益

當被問及云計算的好處時，參與調(diào)查的企業(yè)普遍覺得云計算實現(xiàn)了之前的承諾：靈活的功能和彈性(51%)、改善可用性和業(yè)務(wù)連續(xù)性(46%)和提高敏捷性 (45%)。排名前三的收益較去年沒有變化，但占比有較大幅提高(去年分別為39%、34%和32%)。

圖10 上云的主要收益

9. 強化云安全的途徑

培訓和認證IT員工(61%)連續(xù)4年被列為組織部署的主要策略，以確保滿足不斷變化的安全需求。58%的受訪者依賴于云供應(yīng)商的原生安全工具，34%的受訪者希望雇傭更多致力于云安全的員工。

圖11 強化云安全的主要方式

10. 安全備戰(zhàn)情況

當被問及組織如何評價他們的整體安全準備時，69%的企業(yè)覺得他們團隊的安全準備等于或低于平均水平。只有31%的人認為自己高于平均水平。其中80%的人認為團隊將受益于云安全培訓和/或認證。

調(diào)查中反復出現(xiàn)的一個主題是，合格的網(wǎng)絡(luò)安全人員持續(xù)短缺，而且所有員工都缺乏應(yīng)有的安全意識和安全技能。網(wǎng)絡(luò)安全專業(yè)人士認為，59%的員工將從安全培訓和/或工作認證中受益。

圖12 多數(shù)人認為員工會從培訓或認證中受益

當談到安全培訓主題的優(yōu)先級時，調(diào)查中的網(wǎng)絡(luò)安全專家選擇了云網(wǎng)絡(luò)安全(66%)、應(yīng)用安全(45%)和基于風險的框架(43%)作為培訓和教育成功最有價值的主題。相較于去年，前兩位沒有變化，只是占比增加，但是第三位由事件響應(yīng)變?yōu)榛陲L險的框架(去年為25%)，還是那句話，剛到一個新環(huán)境，稍微適應(yīng)之后各種問題開始顯現(xiàn)，目前企業(yè)關(guān)心的就是云上安全整體解決方案，而這就需要一個適用于云上的安全風險框架。

圖13 培訓重點

11. 云安全預(yù)算情況

約六成企業(yè)預(yù)計云安全預(yù)算將在未來一年內(nèi)增加。平均來看，企業(yè)將27%的安全預(yù)算分配給云安全。盡管這個比例不算大，但是企業(yè)開始重視云上安全問題(以上各方面問題占比較比去年均有所提高)，隨著時間推移，預(yù)計預(yù)算會持續(xù)增加。

圖14 云安全預(yù)算

報告來源于Cybersecurity Insiders，作者Holger Schulze，CEO and Founder.報告中數(shù)據(jù)主要來自ISC2。

共計調(diào)查了653名網(wǎng)絡(luò)安全專業(yè)人員，旨在發(fā)現(xiàn)云用戶是如何在云中應(yīng)對安全威脅,以及培訓、認證和最佳實踐。受訪者范圍從技術(shù)主管到IT安全從業(yè)人員，代表了多個行業(yè)中不同規(guī)模的企業(yè)。

在云安全背景下，接下來的文章將和大家分享國內(nèi)上云情況以及企業(yè)如何進行上云遷移。