企業(yè)持續(xù)快速將工作負(fù)載從數(shù)據(jù)中心遷移到云上,，利用無服務(wù)器,、容器和機器學(xué)習(xí)等新技術(shù)，以獲得效率提升,、更好的可伸縮性和更快的部署等收益,。

隨著公有云的采用持續(xù)激增，特別是在2020年疫情危機和隨之而來的向遠(yuǎn)程辦公加速轉(zhuǎn)變的情況下,，人們依然對云安全十分擔(dān)憂,。

因此，這份2020年云安全報告旨在探討企業(yè)如何應(yīng)對云環(huán)境中不斷演變的安全威脅,，以及合格安全人員的持續(xù)短缺,。

編輯

主要發(fā)現(xiàn)

編輯

盡管云計算得到快速應(yīng)用，但對于云用戶來說,，安全性仍然是一個關(guān)鍵問題,。大多數(shù)網(wǎng)絡(luò)安全專業(yè)人士(94%)認(rèn)為，他們至少對公有云安全有一定程度的擔(dān)憂,，這一比例較去年調(diào)查數(shù)據(jù)略有上升,。

在采用云計算的主要障礙中，企業(yè)提到缺乏合格的專業(yè)人員(37%)是加快采用云計算的最大阻礙——去年的調(diào)查中排名第五,。

連續(xù)四年,，培訓(xùn)和認(rèn)證IT員工(61%)被列為組織部署的主要策略之一，以確保滿足不斷變化的安全需求,。58%的受訪者依賴于云供應(yīng)商的原生安全工具,，34%的受訪者希望雇傭更多致力于云安全的員工。

約六成企業(yè)預(yù)計云安全預(yù)算將在未來一年內(nèi)增加,。平均而言,，企業(yè)將27%的安全預(yù)算分配給云安全。

當(dāng)被問及組織如何評價他們的整體安全準(zhǔn)備時,，69%的企業(yè)覺得他們團隊的安全準(zhǔn)備等于或低于平均水平,。只有31%的人認(rèn)為自己高于平均水平。其中80%的人認(rèn)為團隊將受益于云安全培訓(xùn)和/或認(rèn)證,。

調(diào)查中反復(fù)出現(xiàn)的一個主題是,，合格的網(wǎng)絡(luò)安全人員持續(xù)短缺，而且所有員工都缺乏應(yīng)有的安全意識和安全技能,。網(wǎng)絡(luò)安全專業(yè)人士認(rèn)為,，59%的員工將從安全培訓(xùn)和/或工作認(rèn)證中受益。

編輯

調(diào)研結(jié)果

編輯

公有云安全

盡管云計算得到快速應(yīng)用,，但對于云用戶來說,，安全性仍然是一個關(guān)鍵問題。大多數(shù)網(wǎng)絡(luò)安全專業(yè)人士(94%)認(rèn)為,，他們至少對公有云安全有一定程度的擔(dān)憂,，這一比例較去年調(diào)查數(shù)據(jù)（93%）略有上升,。

編輯

圖1 企業(yè)對公有云安全的關(guān)心程度

大多數(shù)組織對其云安全態(tài)勢沒有信心(66%)。雖然信心從去年的84%下降了18個百分點,，但仍然存在一定程度的過度自信,。總的來看依舊是用戶對云上安全不放心,，也許是前期上云過程中的過度自信,，在真正在云環(huán)境下運行業(yè)務(wù)時,，各類安全問題才開始顯現(xiàn),，以至于云用戶對自身安全態(tài)勢有了新的認(rèn)識，不再過度自信,。

編輯

圖2 企業(yè)對自身云安全態(tài)勢的自信程度

云安全所擔(dān)憂的問題

作為云服務(wù)的一部分,，云供應(yīng)商開始提供越來越健壯的安全措施，但是最終負(fù)責(zé)保護云上工作負(fù)載的依舊是用戶自己,。在調(diào)查中,，最突出的云安全挑戰(zhàn)是關(guān)于數(shù)據(jù)泄漏(69%，比去年上升5個百分點)和數(shù)據(jù)隱私(66%,，比去年上升4個百分點),。緊隨其后的是對憑據(jù)意外暴露和事件響應(yīng)的擔(dān)憂(從去年的29%上升到44%)。今年看到數(shù)據(jù)主權(quán)問題開始進(jìn)入大家的視線,，因為最近關(guān)于數(shù)據(jù)出境的一些討論和國際政策,，爭論比較激烈，具體可以參考《數(shù)據(jù)安全法（草案）》相關(guān)的分析文章,。

編輯

圖3 最擔(dān)憂的云安全問題

在運維安全痛點方面,，隨著越來越多的工作負(fù)載遷移到云上，網(wǎng)絡(luò)安全專業(yè)人士已經(jīng)意識到保護這些工作負(fù)載的復(fù)雜性,。缺乏合格的安全人員(47%)從去年的第三名上升到了排行榜的第一名,，這是企業(yè)上云后普遍開始遇到的一個問題，目前主要方式還是選擇第三方服務(wù)機構(gòu)來進(jìn)行管理,，但這并非適合所有企業(yè),。其次是合規(guī)性(40%)和跨云及本地環(huán)境一致性的安全策略(36%)。其他方面可以發(fā)現(xiàn),，是近2年來大家一直在關(guān)注的問題,，安全可視化大屏和監(jiān)控，自動化監(jiān)測與響應(yīng)平臺（SOAR,、SOC）,、DevSecOps以及遺留系統(tǒng)遷移上云的技術(shù)集成等問題。

編輯

圖4 運維安全痛點問題

上云的阻礙

在采用云計算的障礙中,，企業(yè)提到缺少專業(yè)員工(37%)是加速上云的最大障礙——去年的調(diào)查中排名第五,。接下來是與現(xiàn)有IT環(huán)境集成方面的挑戰(zhàn),，以及數(shù)據(jù)安全問題(并列35%)。

編輯

圖5 上云的主要阻礙

云安全的最大威脅

當(dāng)被問及公有云面臨的最大安全威脅是什么時,，組織將云平臺的錯誤配置(68%)列為頭號問題,，高于去年的第三名排名。其次是未授權(quán)訪問(58%),、不安全接口(52%)和帳戶劫持(50%),。與去年數(shù)據(jù)相比，前三名的威脅沒有變化,，這幾個問題穩(wěn)居前三,，只是占比明顯提升，分析應(yīng)該是上云用戶逐漸增加,，并且開始適應(yīng)云上環(huán)境,，一些普遍問題開始擴散。新上榜的一個威脅是來自國家級的網(wǎng)絡(luò)攻擊,，這個內(nèi)涵就太多了,，這里不再展開，也不是本報告分析的重點,。

編輯

圖6 云安全的最大威脅

傳統(tǒng)工具云上集成情況

隨著工作負(fù)載不斷向云上遷移,，組織面臨著云計算帶來的安全挑戰(zhàn)。大多數(shù)遺留安全工具都不是為云而設(shè)計的,。82%的受訪者表示,，傳統(tǒng)的安全解決方案要么根本無法在云環(huán)境中工作，要么功能有限——與去年的調(diào)查(66%)相比,，情況明顯惡化,。

編輯

圖7 遺留安全工具在云上使用情況

云安全解決方案的驅(qū)動因素

企業(yè)快速上云是云計算不可否認(rèn)的一些優(yōu)勢所驅(qū)動的。企業(yè)認(rèn)識到部署云安全解決方案的一些關(guān)鍵驅(qū)動因素,，包括更快的部署時間和成本節(jié)約(41%持平),。緊隨其后的是在補丁和軟件更新方面的投入減少(40%)。隨著上云的普及,，一些成熟的解決方案開始被推廣,，企業(yè)上云速度越來越快，云上運營成本越來越低,，使企業(yè)嘗到了云計算的甜頭,。一些自動化工具和流程的應(yīng)用，大大減少企業(yè)資源的投入,，可以節(jié)省更多時間對業(yè)務(wù)和安全進(jìn)行優(yōu)化,。相比去年數(shù)據(jù)，沒有太大變化，占比略有提升,。這其中也有疫情因素,，似的企業(yè)不得不改變傳統(tǒng)的工作和交付方式。

編輯

圖8 云上解決方案的驅(qū)動因素

采用云安全方案的阻礙

盡管云安全解決方案提供了顯著的優(yōu)勢,，但采用它的障礙仍然存在,。當(dāng)涉及到業(yè)務(wù)轉(zhuǎn)換和上云時，必須將三個重要方面結(jié)合起來：人,、流程和技術(shù),。調(diào)查顯示，企業(yè)面臨的最大挑戰(zhàn)不是技術(shù),，而是人員和流程,。員工專業(yè)知識和培訓(xùn)(55%，去年為41%)仍然是最大的障礙,，其次是預(yù)算(46%,，去年為40%),、數(shù)據(jù)隱私問題(37%)和缺乏與本地安全工具的集成(36%),。與去年調(diào)查的結(jié)果基本相同，但占比有所提高,。

編輯

圖9 阻礙云解決方案采用的主要問題

上云收益

當(dāng)被問及云計算的好處時,，參與調(diào)查的企業(yè)普遍覺得云計算實現(xiàn)了之前的承諾：靈活的功能和彈性(51%)、改善可用性和業(yè)務(wù)連續(xù)性(46%)和提高敏捷性 (45%),。排名前三的收益較去年沒有變化,，但占比有較大幅提高（去年分別為39%、34%和32%）,。

編輯

圖10 上云的主要收益

強化云安全的途徑

培訓(xùn)和認(rèn)證IT員工(61%)連續(xù)4年被列為組織部署的主要策略,，以確保滿足不斷變化的安全需求。58%的受訪者依賴于云供應(yīng)商的原生安全工具,，34%的受訪者希望雇傭更多致力于云安全的員工,。

編輯

圖11 強化云安全的主要方式

安全備戰(zhàn)情況

當(dāng)被問及組織如何評價他們的整體安全準(zhǔn)備時，69%的企業(yè)覺得他們團隊的安全準(zhǔn)備等于或低于平均水平,。只有31%的人認(rèn)為自己高于平均水平,。其中80%的人認(rèn)為團隊將受益于云安全培訓(xùn)和/或認(rèn)證。

調(diào)查中反復(fù)出現(xiàn)的一個主題是,，合格的網(wǎng)絡(luò)安全人員持續(xù)短缺,，而且所有員工都缺乏應(yīng)有的安全意識和安全技能。網(wǎng)絡(luò)安全專業(yè)人士認(rèn)為,，59%的員工將從安全培訓(xùn)和/或工作認(rèn)證中受益,。

編輯

圖12 多數(shù)人認(rèn)為員工會從培訓(xùn)或認(rèn)證中受益

當(dāng)談到安全培訓(xùn)主題的優(yōu)先級時，調(diào)查中的網(wǎng)絡(luò)安全專家選擇了云網(wǎng)絡(luò)安全(66%),、應(yīng)用安全(45%)和基于風(fēng)險的框架(43%)作為培訓(xùn)和教育成功最有價值的主題,。相較于去年,，前兩位沒有變化，只是占比增加,，但是第三位由事件響應(yīng)變?yōu)榛陲L(fēng)險的框架（去年為25%）,，還是那句話，剛到一個新環(huán)境,，稍微適應(yīng)之后各種問題開始顯現(xiàn),，目前企業(yè)關(guān)心的就是云上安全整體解決方案，而這就需要一個適用于云上的安全風(fēng)險框架,。

編輯

圖13 培訓(xùn)重點

云安全預(yù)算情況

約六成企業(yè)預(yù)計云安全預(yù)算將在未來一年內(nèi)增加,。平均來看，企業(yè)將27%的安全預(yù)算分配給云安全,。盡管這個比例不算大,，但是企業(yè)開始重視云上安全問題（以上各方面問題占比較比去年均有所提高），隨著時間推移,，預(yù)計預(yù)算會持續(xù)增加,。

編輯

圖14 云安全預(yù)算

報告來源于Cybersecurity Insiders，作者Holger Schulze,，CEO and Founder.報告中數(shù)據(jù)主要來自ISC2,。

共計調(diào)查了653名網(wǎng)絡(luò)安全專業(yè)人員，旨在發(fā)現(xiàn)云用戶是如何在云中應(yīng)對安全威脅,以及培訓(xùn),、認(rèn)證和最佳實踐,。受訪者范圍從技術(shù)主管到IT安全從業(yè)人員，代表了多個行業(yè)中不同規(guī)模的企業(yè),。

在云安全背景下,，接下來的文章將和大家分享國內(nèi)上云情況以及企業(yè)如何進(jìn)行上云遷移。