因此,超过 98% 的组织使用某种形式的基于云的基础架构,超过四分之三 (76%) 的组织拥有由两个或多个云提供商的服务组成的多云部署。这些云环境托管关键业务应用程序并存储敏感的公司和客户数据。
随着向云的迁移,对云安全的需求也随之而来。必须保护这些基于云的应用程序免受攻击,并且必须根据适用法规保护云托管数据免受未经授权的访问。
然而,云环境与本地基础设施有很大不同,这意味着传统的安全工具和方法并不总是在云中有效工作。因此,许多组织在保护其新发现的云基础架构方面面临着重大挑战。
探索 2022 年最大的云安全挑战
云采用每年都在增长,这意味着云安全的重要性也在增加。近年来,许多组织迅速转向基于云的基础架构来支持业务需求,但保护该基础架构的努力却落后了。2022 年,许多组织都在寻求纠正这些问题,但也面临着重大挑战,例如:
#1、多云挑战
大多数公司都有多云部署。这使他们能够充分利用针对特定用例优化的不同云环境的独特优势。然而,这也增加了他们云基础设施的规模和复杂性。
多云环境的更大复杂性导致了重大的多云安全挑战。多云用户面临的一些主要挑战包括:
- 数据保护和隐私: 57% 的组织发现根据公司政策和法规要求正确保护多云环境中的数据具有挑战性。不同的环境具有不同的内置安全控制和工具,难以实现一致的保护。
- 获得云技能: 56% 的组织难以获得必要的技能,以便在多云环境中部署和管理一致的安全性。这样做需要在每个环境中都有深入的专业知识,随着环境数量的增加,这变得更加困难。
- 解决方案集成:多云环境涉及来自多个供应商的不同解决方案。50% 的组织难以理解安全解决方案如何协同工作。
- 失去可见性和控制:由于共享责任模型和对供应商控制的基础设施的依赖,在云中实现可见性和控制是很困难的。46% 的组织将此视为在多云环境中工作时的主要挑战。
#2、云提供商
超过四分之三的组织 (76%) 使用两个或更多云服务提供商,近四分之一 (24%) 使用五个以上。这种云基础架构的复杂性使得持续监控和保护这些云环境变得困难。此外,超过一半的组织 (54%) 认为其云提供商的内置安全产品不如第三方供应商的解决方案有效。
保护多云环境的复杂性可能会导致难以实现组织的主要安全目标,包括:
- 防止云配置错误:使用许多特定于供应商的安全设置,确保所有设置都正确是复杂的。
- 保护已在使用的主要云应用程序:由于 COVID-19 导致的快速迁移到云,许多安全团队都在迎头赶上。
- 达到监管合规性:快速的数字化转型和不断扩大的监管环境使合规变得复杂。
- 防御恶意软件:随着公司将重点转移到云上,网络威胁参与者也将注意力转移到云上,这使得恶意软件管理成为云中的优先事项。
#3、自动化与编排
随着组织过渡到复杂的多云部署,自动化和编排对于大规模维护安全性至关重要。组织使用各种安全工具来帮助实施安全控制和流程,包括:
- 模板化基础设施即代码 (IaC) 和安全即代码(Terraform 或 AWS CloudFormation)48%
- 无服务器技术(Lamba 或 Azure 函数):44%
- 持续集成和交付 (CI/CD) 插件(Jenkins 或 TeamCity):44%
- 安全编排、自动化和响应 (SOAR) 工具:41%
- 配置编排工具(Chef 或 Ansible):41%
- Web 应用程序防火墙(WAF):5%
#4、DevOps 周期
通过将安全性集成到软件开发生命周期 (SDLC) 的早期阶段来转移安全性,可以显着降低违反法规遵从性要求的漏洞或代码的成本和影响。组织在 SDLC 的各个阶段实施 DevOps 安全性和合规性测试,包括:
- 系统测试和生产:52%
- 功能开发和单元测试:42%
- 分期:42%
- 无测试:10%
- 其他:27%
#5、运营安全
保护云可能具有挑战性,尤其是在复杂的多云环境中。组织在尝试保护其云工作负载时面临的一些最大挑战包括:
- 缺乏合格的员工:网络安全行业正面临严重的技能短缺,专业技能组合更难找到。因此,不到一半的组织 (45%) 找到合格的人员来填补关键的云安全角色。
- 合规性:大多数组织都受到许多不同的合规性法规的约束,并且法规环境正在迅速扩大。随着组织转向云,39% 的人表示,在这种截然不同的 IT 环境中实现、维护和证明合规性是一项重大挑战。
- 缺乏基础设施安全可见性:云部署在共享责任模型下运行,其中安全责任在云提供商和客户之间划分。如果在基础设施堆栈的较低层没有可见性和控制,并且无法部署传统的安全解决方案,35% 的组织难以实现对其底层安全基础设施的关键可见性。
- 识别错误配置的难度:每个云平台都有自己独特的安全配置集,并且大多数组织与多个云提供商合作。对于 33% 的组织而言,其云环境的复杂性使得在被攻击者利用之前快速识别和纠正错误配置具有挑战性。
- 设置一致的安全策略:在多个云环境中,组织面临着各种不同的内置安全工具和设置。因此,32% 的公司声称在其云基础架构中维护一致的安全策略是一项重大挑战。
- 云安全自动化:持续和自动化的安全控制对于最大限度地降低网络攻击对基于云的资源的风险和影响至关重要。然而,31% 的组织在实施这些自动化控制方面遇到了困难。
- 自动安全实施:多云环境的范围使得在组织的整个环境中手动配置和实施安全是不可行的。自动执行是必不可少的,但被认为是 28% 的组织面临的主要挑战。
#6、云合规
大多数组织都必须遵守各种数据保护法规和行业标准。但是,为云环境设计和实施合规策略与本地系统有很大不同。组织面临的一些最大的云合规挑战包括:
- 缺乏员工知识和专业知识:云合规性需要专业知识和专业知识,因为它不仅需要所需控制的知识,还需要如何在云环境中实施它们。超过一半 (55%) 的组织指出,缺乏这种综合监管和云知识是他们最大的云合规挑战。
- 不断变化的环境:随着监管要求和云环境定期变化,云合规性是一场持续的斗争。尽管云环境发生变化,但保持持续合规性是 43% 的组织所面临的挑战。
- 复杂的审计:合规审计和风险评估在组织拥有和控制其所有基础设施的内部部署可能令人生畏。42% 的组织指出,在对底层基础设施的访问受限的云中这样做是一项挑战。
- 合规性监控:保持合规性需要深入了解组织的系统和安全控制。由于难以在云中实现可见性,42% 的组织发现其基于云的基础架构中的合规性监控很棘手。
- 不断变化的要求:近年来,新法规正在迅速采用,现有标准也在不断更新。对于 36% 的公司来说,跟上不断变化的需求是一项重大挑战。
- 云漏洞管理:随着多云基础设施的扩展,组织的数字攻击面也随之扩大。监控云应用程序和服务的漏洞对于防止数据泄露和违规行为至关重要。
- 合规自动化:跨多云环境手动维护和报告对多个法规的合规性是复杂且不可扩展的。27% 的组织声称,扩展和自动化合规性是他们最大的云合规性挑战之一。