企业不断将工作负载从数据中心快速迁移到云端,使用无服务器、容器和机器学习等新技术来提高效率和更好的可扩展性和更快的好处部署。随着公有云的采用持续激增,尤其是在2020年的危机以及由此导致的向远程工作的加速转移的情况下,云安全问题仍然很严重。因此,这份2020年云安全报告旨在探讨企业如何应对云环境中不断演变的安全威胁,以及合格安全人员的持续短缺。主要发现尽管云计算得到迅速采用,但安全性仍然是云用户最关心的问题。大多数网络安全专业人士(94%)认为他们至少对公共云安全有一定程度的担忧,与去年的调查数据相比略有增加。在采用云的最大障碍中,企业认为缺乏合格的专业人员(37%)是加速采用云的最大障碍——在去年的调查中排名第五。培训和认证IT员工(61%)连续第四年被列为组织为确保满足不断变化的安全需求而部署的首要战略之一。58%的受访者依赖云提供商的原生安全工具,34%的受访者希望雇佣更多专门负责云安全的员工。大约60%的企业预计明年云安全预算会增加。平均而言,企业将27%的安全预算分配给云安全。当被问及组织如何评价其整体安全准备情况时,69%的人认为其团队的安全准备情况处于或低于平均水平。只有31%的人认为自己高于平均水平。80%的人认为团队将从云安全培训和/或认证中受益。调查中反复出现的主题是合格网络安全人员的持续短缺以及所有员工缺乏安全意识和技能。网络安全专业人士认为,59%的员工将从安全培训和/或工作认证中受益。调查结果1.公共云安全尽管云计算得到迅速采用,但安全仍然是云用户的一个关键问题。大多数网络安全专业人士(94%)认为他们至少对公共云安全有一定程度的担忧,与去年的调查(93%)相比略有上升。图1企业对公有云安全的担忧程度大多数组织对其云安全状况没有信心(66%)。尽管信心比去年的84%下降了18个百分点,但仍然存在一定程度的过度自信。总的来说,用户还是担心云上的安全问题。或许是前期上云过程中过于自信所致。当业务真正运行在云环境中时,各种安全问题开始出现,让云用户非常关注自身的安全。有了新的认识,我不再过于自信。图2企业对自身云安全态势的信心2.云安全顾虑作为云服务的一部分,云供应商开始提供越来越稳健的安全措施,但最终保护云工作负载的仍是用户自己。调查中最突出的云安全挑战是数据泄露(69%,比去年上升5个百分点)和数据隐私(66%,比去年上升4个百分点)。其次是对凭证意外泄露和事件响应的担忧(44%,高于去年的29%)。今年以来,数据主权问题开始受到大家的关注,因为最近关于数据输出和国际政策的讨论被热议。具体可以参考相关分析文章《数据安全法(草案)》。图3首要云安全问题在运营安全痛点方面,随着越来越多的工作负载迁移到云中,网络安全专业人员已经意识到保护这些工作负载的复杂性。缺乏合格的安保人员(47%)从去年的第三位上升到榜单的第一位。这是企业上云后普遍开始遇到的问题。目前主要的方式是选择第三方服务机构进行管理,但这并不适合所有商家。其次是合规性(40%)和跨云和本地环境的一致安全策略(36%)。其他方面,可以发现这两年一直是大家关注的问题,安全可视化大屏与监控、自动化监控与响应平台(SOAR、SOC)、DevSecOps、技术集成遗留系统迁移到云端。图4运维安全痛点3.云迁移的障碍在企业采用云计算的障碍中,缺乏专业人员(37%)是加快上云速度的最大障碍——在去年的调查中排名第五.接下来是与现有IT环境集成的挑战,以及数据安全问题(并列为35%)。图5上云的主要障碍4.云安全的最大威胁当被问及公有云面临的最大安全威胁是什么时,组织将云平台配置错误(68%)列为第一位,高于去年的第一位排名第三。其次是未经授权的访问(58%)、不安全的界面(52%)和帐户劫持(50%)。与去年数据相比,前三名的威胁没有变化。这些问题稳居前三,但占比明显上升。分析应该是云用户在逐渐增多,开始适应云环境。一些常见的问题开始蔓延。名单上的新威胁是来自国家层面的网络攻击。这其中的内涵太多,这里不再展开,也不是本报告分析的重点。图6云安全的最大威胁5.传统工具在云上的集成随着工作负载不断向云迁移,组织面临着云计算带来的安全挑战。大多数遗留安全工具都不是为云设计的。82%的受访者表示,传统的安全解决方案要么在云环境中根本不起作用,要么功能有限——与去年的调查(66%)相比明显恶化。图7云上遗留安全工具的使用6.云安全解决方案的驱动因素企业向云的快速迁移是由云计算的一些不可否认的优势驱动的。企业认识到部署云安全解决方案的一些关键驱动因素,包括更快的部署时间和成本节约(持平41%??)。其次是补丁和软件更新方面的支出减少(40%)。随着云的普及,一些成熟的方案开始推广。企业上云的速度越来越快,上云的运营成本越来越低,让企业尝到了云计算的甜头。一些自动化工具和流程的应用,可以大大减少企业资源的投入,节省更多的时间来优化业务和安全。与去年数据相比,变化不大,占比略有上升。还有一个流行因素,好像公司不得不改变传统的工作和交付方式。图8云解决方案的驱动因素7.采用云安全解决方案的障碍尽管云安全解决方案具有显着优势,但采用它的障碍仍然存在。在业务转型和向云迁移方面,三个重要方面必须结合在一起:人员、流程和技术。调查显示,企业面临的最大挑战不是技术,而是人和流程。员工专业知识和培训(55%,高于去年的41%)仍然是最大的障碍,其次是预算(46%,高于去年的40%)、数据隐私问题(37%)以及缺乏与内部部署的集成安全工具(36%)。结果与去年的调查基本相同,但所占比例有所增加。图9阻碍采用云解决方案的主要问题8.上云的好处当被问及云计算的好处时,参与调查的企业普遍认为云计算兑现了之前的承诺:灵活的功能和弹性(51%),提高了可用性和业务连续性(46%)并提高了敏捷性(45%)。营收前三名与去年相比没有变化,但占比大幅提升(去年分别为39%、34%和32%)。图10上云的主要好处9.加强云安全的方法IT人员的培训和认证(61%)已连续四年被列为组织部署的主要策略,以确保满足不断变化的安全需求。58%的受访者依赖云提供商的原生安全工具,34%的受访者希望雇佣更多专门负责云安全的员工。图11加强云安全的主要方法10.安全准备当被问及组织如何评价其整体安全准备时,69%的企业认为其团队的安全准备处于或低于平均水平。只有31%的人认为自己高于平均水平。80%的人认为团队将从云安全培训和/或认证中受益。调查中反复出现的主题是合格网络安全人员的持续短缺以及所有员工缺乏安全意识和技能。网络安全专业人士认为,59%的员工将从安全培训和/或工作认证中受益。图12大多数人同意员工将从培训或认证中受益在确定安全培训主题的优先顺序时,调查中的网络安全专业人员选择云网络安全(66%)、应用程序安全(45%)和基于风险的框架(43%)作为培训和教育成功最有价值的话题。与去年相比,前两位没有变化,但占比有所上升,但第三位从事件响应变为基于风险的框架(去年为25%)。还是那句话,刚到一个新的环境,稍微适应一下,就开始出现各种问题。目前企业关注的是云上的整体安全解决方案,这就需要一个适合云的安全风险框架。图13培训重点11.云安全预算大约60%的企业预计明年云安全预算会增加。平均而言,企业将27%的安全预算分配给云安全。虽然这个比例不大,但企业已经开始关注云安全问题(以上几个方面的比例比去年有所增加),而且随着时间的推移,预计预算还会继续增加。图14云安全预算报告来自Cyber??securityInsiders,由首席执行官兼创始人HolgerSchulze撰写。报告中的数据主要来自ISC2。共有653名网络安全专业人员接受了调查,以了解云用户如何应对云中的安全威胁,以及培训、认证和最佳实践。受访者的范围从技术主管到IT安全从业者,代表着多个行业中各种规模的企业。在云安全的背景下,下一篇文章将与大家分享国内云迁移的情况以及企业如何迁移上云。
