5月初,安全公司Snyk发布调查报告称,近60%的企业担心云原生技术迁移带来的安全问题,这是是不太担心的公司数量的四倍。Snyk在《云原生应用安全状态》的报告中指出,这些公司的担忧可能是基于个人经历:超过56%的公司表示他们遇到过因错误配置或未修补的漏洞导致的安全事件。Snyk创始人兼总裁GuyPodjarny表示,这两类事件并不意味着这些公司在迁移到云端后就放松了安全措施。他们确实在检测并在大多数情况下迅速缓解更多安全问题。“由于环境更复杂,安全事件更多,但这些公司正确地认识到这些是需要关注的领域,因此他们的担忧与实际威胁相吻合。这更像是我所说的安全卫生,关心锁。关门。”在COVID-19大流行期间扩展可远程访问的基础设施的需求促使公司加速数字化转型,许多公司在过去一年中从早期规划阶段跃升至推出云基础设施。这些公司不再使用可远程访问的内部应用程序和系统,而是直接转向云原生应用程序和基础设施。云原生技术使用基于云的基础设施,如容器、微服务和API来提高业务的可扩展性和敏捷性,这是数据和转型的关键。Snyk报告显示,与未将大部分业务和开发流程迁移到云端的公司相比,云采用率高的公司更有可能遇到某些类型的安全事件。云采用率高的公司更可能遇到的安全事件类型包括:配置错误(50%)、已知未修补漏洞(45%)、审计失败(21%)和机密泄露(18%);公司更有可能遇到恶意软件(14%)或根本检测不到任何安全事件(21%)。Snyk在报告中表示:“云原生技术的采用无疑将改变公司整个应用的安全态势。虽然核心安全原则保持不变,但与所有新兴生态系统一样,最佳实践尚未确定,团队正在探索陌生环境的优势和劣势。”在此过程中,它引发了新的安全问题。”与企业一起,攻击者也在关注云技术。根据云应用服务提供商Netskope的最新报告,2021年第一季度来自存储、云电子邮件服务和软件下载服务等云应用的恶意软件增长了近三分之一,占该季度所有恶意软件的比重。62%的下载量。该恶意软件的下载量同比激增48%。大多数通过网络下载的恶意软件都是可执行文件,但从云应用程序下载的恶意软件则鱼龙混杂,可执行文件和存档文件各占总数的四分之一左右,而Office文档则占近16%。Netskope的报告称:“由于云应用程序的广泛部署,云应用程序已成为网络犯罪分子传播恶意软件的流行渠道:无论受害者走到哪里,网络犯罪分子都会跟随。”Snyk并未得出使用云原生技术越多越不安全的结论,但采用云原生技术越多的公司对安全事件的意识就越高,因为它们具有更好的可见性。虽然只有三分之一的公司拥有完全自动化的开发管道,但42%的云原生公司已经转向完全自动化。“报告中的数据表明,云采用率高的团队确实更加自动化,并且可以在更短的时间内找到并解决关键问题,”Podjarny说。团队合作的新现实,他们担心出错的机会会更高,但响应时间仍然快得多。”Podjarny说,一个有趣的发现是,开发人员更愿意为安全承担责任,而安全团队则更愿意为安全承担责任。准备放弃这些责任。36%的开发人员声称对安全负责,而只有13%的开发人员将安全责任归于IT安全团队。但是,只有10%的安全角色受访者将安全委托给开发人员,而31%的受访者仍在委托安全团队的责任。调查的大多数受访者(31%的开发人员和33%的安全专业人员)认为安全是DevOps或DevSecOps团队的责任。Podjarny表示更多的是关于谁准备好解决这些问题。“总会有人怀疑开发者不关心安全问题,但数据显示开发者更愿意采取e安全责任。公司拥有扫描技术,但开发人员需要成为运行它的人,而安全团队需要放手。”
