因此,超過 98% 的組織使用某種形式的基于云的基礎架構,超過四分之三 (76%) 的組織擁有由兩個或多個云提供商的服務組成的多云部署。這些云環境托管關鍵業務應用程序并存儲敏感的公司和客戶數據。
隨著向云的遷移,對云安全的需求也隨之而來。必須保護這些基于云的應用程序免受攻擊,并且必須根據適用法規保護云托管數據免受未經授權的訪問。
然而,云環境與本地基礎設施有很大不同,這意味著傳統的安全工具和方法并不總是在云中有效工作。因此,許多組織在保護其新發現的云基礎架構方面面臨著重大挑戰。
探索 2022 年最大的云安全挑戰
云采用每年都在增長,這意味著云安全的重要性也在增加。近年來,許多組織迅速轉向基于云的基礎架構來支持業務需求,但保護該基礎架構的努力卻落后了。2022 年,許多組織都在尋求糾正這些問題,但也面臨著重大挑戰,例如:
#1、多云挑戰
大多數公司都有多云部署。這使他們能夠充分利用針對特定用例優化的不同云環境的獨特優勢。然而,這也增加了他們云基礎設施的規模和復雜性。
多云環境的更大復雜性導致了重大的多云安全挑戰。多云用戶面臨的一些主要挑戰包括:
- 數據保護和隱私:?57% 的組織發現根據公司政策和法規要求正確保護多云環境中的數據具有挑戰性。不同的環境具有不同的內置安全控制和工具,難以實現一致的保護。
- 獲得云技能:?56% 的組織難以獲得必要的技能,以便在多云環境中部署和管理一致的安全性。這樣做需要在每個環境中都有深入的專業知識,隨著環境數量的增加,這變得更加困難。
- 解決方案集成:多云環境涉及來自多個供應商的不同解決方案。50% 的組織難以理解安全解決方案如何協同工作。
- 失去可見性和控制:由于共享責任模型和對供應商控制的基礎設施的依賴,在云中實現可見性和控制是很困難的。46% 的組織將此視為在多云環境中工作時的主要挑戰。
#2、云提供商
超過四分之三的組織 (76%) 使用兩個或更多云服務提供商,近四分之一 (24%) 使用五個以上。這種云基礎架構的復雜性使得持續監控和保護這些云環境變得困難。此外,超過一半的組織 (54%) 認為其云提供商的內置安全產品不如第三方供應商的解決方案有效。
保護多云環境的復雜性可能會導致難以實現組織的主要安全目標,包括:
- 防止云配置錯誤:使用許多特定于供應商的安全設置,確保所有設置都正確是復雜的。
- 保護已在使用的主要云應用程序:由于 COVID-19 導致的快速遷移到云,許多安全團隊都在迎頭趕上。
- 達到監管合規性:快速的數字化轉型和不斷擴大的監管環境使合規變得復雜。
- 防御惡意軟件:隨著公司將重點轉移到云上,網絡威脅參與者也將注意力轉移到云上,這使得惡意軟件管理成為云中的優先事項。
#3、自動化與編排
隨著組織過渡到復雜的多云部署,自動化和編排對于大規模維護安全性至關重要。組織使用各種安全工具來幫助實施安全控制和流程,包括:
- 模板化基礎設施即代碼 (IaC) 和安全即代碼(Terraform 或 AWS CloudFormation)48%
- 無服務器技術(Lamba 或 Azure 函數):44%
- 持續集成和交付 (CI/CD) 插件(Jenkins 或 TeamCity):44%
- 安全編排、自動化和響應 (SOAR) 工具:41%
- 配置編排工具(Chef 或 Ansible):41%
- Web 應用程序防火墻(WAF):5%
#4、DevOps 周期
通過將安全性集成到軟件開發生命周期 (SDLC) 的早期階段來轉移安全性,可以顯著降低違反法規遵從性要求的漏洞或代碼的成本和影響。組織在 SDLC 的各個階段實施 DevOps 安全性和合規性測試,包括:
- 系統測試和生產:52%
- 功能開發和單元測試:42%
- 分期:42%
- 無測試:10%
- 其他:27%
#5、運營安全
保護云可能具有挑戰性,尤其是在復雜的多云環境中。組織在嘗試保護其云工作負載時面臨的一些最大挑戰包括:
- 缺乏合格的員工:網絡安全行業正面臨嚴重的技能短缺,專業技能組合更難找到。因此,不到一半的組織 (45%) 找到合格的人員來填補關鍵的云安全角色。
- 合規性:大多數組織都受到許多不同的合規性法規的約束,并且法規環境正在迅速擴大。隨著組織轉向云,39% 的人表示,在這種截然不同的 IT 環境中實現、維護和證明合規性是一項重大挑戰。
- 缺乏基礎設施安全可見性:云部署在共享責任模型下運行,其中安全責任在云提供商和客戶之間劃分。如果在基礎設施堆棧的較低層沒有可見性和控制,并且無法部署傳統的安全解決方案,35% 的組織難以實現對其底層安全基礎設施的關鍵可見性。
- 識別錯誤配置的難度:每個云平臺都有自己獨特的安全配置集,并且大多數組織與多個云提供商合作。對于 33% 的組織而言,其云環境的復雜性使得在被攻擊者利用之前快速識別和糾正錯誤配置具有挑戰性。
- 設置一致的安全策略:在多個云環境中,組織面臨著各種不同的內置安全工具和設置。因此,32% 的公司聲稱在其云基礎架構中維護一致的安全策略是一項重大挑戰。
- 云安全自動化:持續和自動化的安全控制對于最大限度地降低網絡攻擊對基于云的資源的風險和影響至關重要。然而,31% 的組織在實施這些自動化控制方面遇到了困難。
- 自動安全實施:多云環境的范圍使得在組織的整個環境中手動配置和實施安全是不可行的。自動執行是必不可少的,但被認為是 28% 的組織面臨的主要挑戰。
#6、云合規
大多數組織都必須遵守各種數據保護法規和行業標準。但是,為云環境設計和實施合規策略與本地系統有很大不同。組織面臨的一些最大的云合規挑戰包括:
- 缺乏員工知識和專業知識:云合規性需要專業知識和專業知識,因為它不僅需要所需控制的知識,還需要如何在云環境中實施它們。超過一半 (55%) 的組織指出,缺乏這種綜合監管和云知識是他們最大的云合規挑戰。
- 不斷變化的環境:隨著監管要求和云環境定期變化,云合規性是一場持續的斗爭。盡管云環境發生變化,但保持持續合規性是 43% 的組織所面臨的挑戰。
- 復雜的審計:合規審計和風險評估在組織擁有和控制其所有基礎設施的內部部署可能令人生畏。42% 的組織指出,在對底層基礎設施的訪問受限的云中這樣做是一項挑戰。
- 合規性監控:保持合規性需要深入了解組織的系統和安全控制。由于難以在云中實現可見性,42% 的組織發現其基于云的基礎架構中的合規性監控很棘手。
- 不斷變化的要求:近年來,新法規正在迅速采用,現有標準也在不斷更新。對于 36% 的公司來說,跟上不斷變化的需求是一項重大挑戰。
- 云漏洞管理:隨著多云基礎設施的擴展,組織的數字攻擊面也隨之擴大。監控云應用程序和服務的漏洞對于防止數據泄露和違規行為至關重要。
- 合規自動化:跨多云環境手動維護和報告對多個法規的合規性是復雜且不可擴展的。27% 的組織聲稱,擴展和自動化合規性是他們最大的云合規性挑戰之一。
