一项调查显示,基于云的业务计划正在加速,企业安全团队需要更快地跟上云采用的步伐。根据网络安全管理公司FireMon发布的2019年混合云安全调查报告,60%的受访信息安全专业人士表示,企业对云计算的采用已经超过了他们的安全团队跟上。应用安全程序的能力。调查结果强调了一个事实,即云业务计划的速度阻碍了受访者保护和管理混合云环境的能力,但组织的安全人员通常不参与云业务计划。对400名信息安全专业人员进行的调查旨在阐明安全和网络专业人员在组织扩展混合云计划时面临的挑战。大多数受访者位于北美(74%),其次是亚太地区(12.6%)、欧洲、中东和非洲(10.1%)以及拉丁美洲(3.3%)。调查发现,只有56%的受访者表示网络安全、安全运营或安全合规团队负责云安全。在其余44%的案例中,IT和云计算团队、应用程序所有者或安全组织以外的其他团体负责云安全。同样,安全与DevOps之间的关系在组织之间也不一致,调查报告称,随着越来越多的企业在云中部署“即服务”模型,这可能会对云中安全控制的一致性产生影响负面影响。在某些情况下,DevOps和安全性可以完美结合并协同工作,但在其他情况下,这种关系很难维持。近40%的受访者表示,他们结合使用基础架构即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)模型。虽然30.7%的受访者表示他们是DevOps团队的一部分,但作为新兴DevSecOps趋势的一部分,30%的受访者表示他们与DevOps的关系复杂、有争议、不值得一提或根本不存在。调查发现,企业通过在本地部署多个系统以及跨多个私有云和公共云部署,无意中给环境带来了复杂性。由于缺乏管理和保护混合云环境所需的集成工具和培训,情况更加复杂。受访者还指出,缺乏集成工具、缺乏合格人员或使用这些工具的培训不足是实现跨环境安全管理的主要障碍。虽然59%的受访者表示他们在其环境中使用两个或多个不同的防火墙,67%的受访者表示他们还使用两个或多个公共云平台,但只有28%的受访者表示他们正在使用可跨多个环境工作的工具来管理网络安全。调查报告称,近36%的受访者表示他们正在为每个环境或人工流程使用本地工具,这意味着他们在混合环境的每个组件中独立管理安全性。超过四分之一的受访者表示,他们在保护公共云环境方面面临的三大挑战是缺乏可见性、缺乏培训和缺乏控制。调查报告称,向混合云环境的过渡极大地扩大了企业的攻击面,从而扩大了必须保护的资产范围,但安全资源并没有以同样的规模扩大。预算和人员配备是提到的主要资源限制,57.5%的受访者表示他们的安全预算中只有不到25%用于云安全,52%的受访者表示他们的安全团队人数不超过10人。“我们的发现令人信服,但并不令人惊讶,”Firemon技术联盟副总裁蒂姆伍兹说。“在复杂的大型企业环境中,预算限制、缺乏负责云安全的明确团队以及缺乏跨混合云环境管理安全标准的支持,所有这些都削弱了组织保护其云业务计划的能力。只有下一代安全技术和流程可以与DevOps完全集成并提供端到端的可见性,持续的安全性和合规性可以解决这个问题。”伍兹说,调查清楚地表明,许多公司不再符合在其混合环境中提供必要安全保护的中央安全政策或安全原则。“在缺乏简明的安全规则手册的情况下,各部门正在管理自己的安全控制措施他们会尽最大努力这样做,”他说。“但这会增加风险。如果分散的安全责任是云优先战略的未来,那么我们必须找到一种方法来重新建立全球安全管理战略,使业务意图与合规意图、安全意图保持一致。安全实施应密切反映中央安全原则。安全必须是应用程序部署组件的一个组成部分,两者的部署是同步的。”
