近日，Palo Alto Networks公司發(fā)布了《2023年云原生安全狀況報告》。報告數(shù)據(jù)顯示，企業(yè)組織目前平均需要使用30種以上的安全工具來構(gòu)建云應(yīng)用的整體安全性，其中有1/3的產(chǎn)品專門應(yīng)用于云安全。但這種復(fù)雜性并沒有帶來可靠的安全性，反而導(dǎo)致日常安全運(yùn)營問題不斷出現(xiàn)。報告指出，盡管有超過60%的受訪企業(yè)已經(jīng)使用了云服務(wù)3年以上時間，但云安全運(yùn)營維護(hù)的復(fù)雜性正在阻礙它們進(jìn)一步將數(shù)字化業(yè)務(wù)系統(tǒng)向云上遷移。

云安全的關(guān)鍵挑戰(zhàn)

在本次報告研究中，共對全球2500家企業(yè)的高級管理者進(jìn)行了調(diào)查，受訪高管們普遍認(rèn)為，他們對其組織目前的云安全狀況并不滿意，希望能夠進(jìn)一步提高對多云應(yīng)用的可見性以及對安全事件的調(diào)查和響應(yīng)能力。

有75%的受訪者表示，企業(yè)目前應(yīng)用了過多的單點式安全產(chǎn)品，這樣不僅容易造成安全防護(hù)的“盲點”，還影響了他們優(yōu)先考慮風(fēng)險和預(yù)防云安全威脅的能力。但他們難以確定在這些安全工具中，哪些是必須的，哪些是無用的。

33%的公司使用多個廠商安全產(chǎn)品來保護(hù)云應(yīng)用

報告研究發(fā)現(xiàn)：只有約10%的受訪企業(yè)表示，能夠在云安全事件發(fā)生后的一小時內(nèi)發(fā)現(xiàn)、控制和解決威脅；68%的受訪企業(yè)表示，無法在一小時內(nèi)檢測到安全事件的發(fā)生；而在那些能夠做到這一點的企業(yè)中，近70%的企業(yè)無法在一小時內(nèi)有效做出響應(yīng)。

42%受訪企業(yè)的平均云安全修復(fù)時間在增加

通過調(diào)研分析，報告研究人員總結(jié)了當(dāng)前企業(yè)在實現(xiàn)全面云安全性過程中的主要挑戰(zhàn)：

跨團(tuán)隊的安全管理

目前企業(yè)通常采用云服務(wù)提供商和自身之間的責(zé)任共擔(dān)模式，但這是不夠的。企業(yè)還需要向內(nèi)看，消除安全團(tuán)隊和各業(yè)務(wù)部門之間的“孤島”，因為它們阻礙了貫穿開發(fā)、運(yùn)營和安全全周期的安全防護(hù)流程。

原生化安全能力嵌入 

云計算應(yīng)用需要體系化的安全防護(hù)能力，因此要在云應(yīng)用程序開發(fā)使用的每個階段（從代碼研發(fā)到運(yùn)行時）嵌入合適的云安全解決方案。

云安全工具的正確使用 

由于云保護(hù)需要面對“跨代碼、工作負(fù)載、身份、數(shù)據(jù)等以及跨多個執(zhí)行環(huán)境（如容器、無服務(wù)器和虛擬化平臺）的指數(shù)級云資產(chǎn)”，因此在不同階段選擇合適的工具非常關(guān)鍵，而理想的云安全解決方案應(yīng)該是全面的、及時的、可擴(kuò)展的。

安全漏洞可見性增強(qiáng) 

在本次報告中，研究人員將云安全漏洞管理稱為“維護(hù)應(yīng)用程序安全的圣杯”。而要實現(xiàn)這一目標(biāo)，就意味著首先要能夠準(zhǔn)確掌握云的規(guī)模、運(yùn)行速度和靈活性，并在此基礎(chǔ)上通過近乎實時的威脅和漏洞檢測來提升云的安全性。

云安全建設(shè)的優(yōu)化建議

報告調(diào)研發(fā)現(xiàn)，近80%的受訪企業(yè)每周都要在實際生產(chǎn)環(huán)境中部署新的軟件代碼或進(jìn)行應(yīng)用版本更新，而有近40%的受訪企業(yè)每天都要在云上提交新的應(yīng)用系統(tǒng)代碼。因此，沒有企業(yè)能承擔(dān)忽視云工作負(fù)載安全性的后果。但隨著云應(yīng)用和擴(kuò)展的發(fā)展，企業(yè)組織需要采取更優(yōu)化的云安全防護(hù)方法，實現(xiàn)跨多云環(huán)境的應(yīng)用系統(tǒng)保護(hù)。

通過對調(diào)研數(shù)據(jù)的統(tǒng)計分析，研究人員總結(jié)了企業(yè)在選擇云安全防護(hù)方案時，最關(guān)鍵的一些考慮因素：

• 易于使用，便于管理； 
• 具備較先進(jìn)的防護(hù)功能； 
• 是否會對企業(yè)現(xiàn)有業(yè)務(wù)流程和工作效率構(gòu)成影響； 
• 較熟悉的方案生產(chǎn)商或服務(wù)商，便于溝通、協(xié)作； 
• 有競爭力的價格和合理的方案建設(shè)成本。

為了改善對云安全防護(hù)的薄弱態(tài)勢，安全專家建議企業(yè)組織應(yīng)該積極增強(qiáng)對云應(yīng)用異?；蚩梢尚袨榈淖R別能力，提高云資產(chǎn)的可見性，同時由單點式工具部署轉(zhuǎn)向平臺化的方案構(gòu)建。具體建議還包括：

將安全能力原生化 

報告認(rèn)為，企業(yè)應(yīng)該在云應(yīng)用的所有階段配置安全措施。這要求安全團(tuán)隊全面云中的應(yīng)用系統(tǒng)從開發(fā)到生產(chǎn)再到部署使用的整個過程，以便為安全能力找到影響性最小的嵌入點。組織可以從提高云安全漏洞的可見性和管理修復(fù)開始。此外，定期開展云容器安全掃描也是獲得開發(fā)團(tuán)隊認(rèn)可支持的重要第一步。

采用新一代威脅防護(hù)技術(shù)

部署先進(jìn)的威脅防護(hù)技術(shù)可以更有效地阻止零日攻擊，并在攻擊活動真實發(fā)生時快速遏制橫向移動。此外，企業(yè)應(yīng)該確?！白钚?quán)限訪問”策略的有效落實。Palo Alto安全專家建議，組織應(yīng)該為云上的關(guān)鍵任務(wù)應(yīng)用部署預(yù)防性的安全措施，減少可能出現(xiàn)的安全風(fēng)險損失。

防止安全工具“蔓延” 

不要在云環(huán)境中為某些特定的安全應(yīng)用使用多個甚至幾十個安全工具，這樣就會導(dǎo)致所謂的工具“蔓延”情況出現(xiàn)，使云安全團(tuán)隊日常運(yùn)維工作陷入困境，并造成安全可見性的不足。報告研究人員建議，企業(yè)組織應(yīng)該每兩到五年時間，就重新評估以此云安全策略的合理性與有效性，并重新設(shè)置云安全防護(hù)的目標(biāo)。

實現(xiàn)安全能力整合 

通過將數(shù)據(jù)和安全控制能力統(tǒng)一到一個完整的平臺，企業(yè)組織可以獲得更全面的云安全風(fēng)險視圖，而不是由幾個孤立的工具提供的局部安全性視圖。通過整合工具，安全團(tuán)隊還可以自動關(guān)聯(lián)并解決云應(yīng)用生命周期中最重要的安全問題，優(yōu)化提升防護(hù)資源的分配和效果。

參考鏈接：

??https://www.techrepublic.com/article/cloud-security-tools-trees-problem/??