因此，超過(guò) 98% 的組織使用某種形式的基于云的基礎(chǔ)架構(gòu)，超過(guò)四分之三 (76%) 的組織擁有由兩個(gè)或多個(gè)云提供商的服務(wù)組成的多云部署。這些云環(huán)境托管關(guān)鍵業(yè)務(wù)應(yīng)用程序并存儲(chǔ)敏感的公司和客戶數(shù)據(jù)。

隨著向云的遷移，對(duì)云安全的需求也隨之而來(lái)。必須保護(hù)這些基于云的應(yīng)用程序免受攻擊，并且必須根據(jù)適用法規(guī)保護(hù)云托管數(shù)據(jù)免受未經(jīng)授權(quán)的訪問(wèn)。

然而，云環(huán)境與本地基礎(chǔ)設(shè)施有很大不同，這意味著傳統(tǒng)的安全工具和方法并不總是在云中有效工作。因此，許多組織在保護(hù)其新發(fā)現(xiàn)的云基礎(chǔ)架構(gòu)方面面臨著重大挑戰(zhàn)。

探索 2022 年最大的云安全挑戰(zhàn)

云采用每年都在增長(zhǎng)，這意味著云安全的重要性也在增加。近年來(lái)，許多組織迅速轉(zhuǎn)向基于云的基礎(chǔ)架構(gòu)來(lái)支持業(yè)務(wù)需求，但保護(hù)該基礎(chǔ)架構(gòu)的努力卻落后了。2022 年，許多組織都在尋求糾正這些問(wèn)題，但也面臨著重大挑戰(zhàn)，例如：

#1、多云挑戰(zhàn)

大多數(shù)公司都有多云部署。這使他們能夠充分利用針對(duì)特定用例優(yōu)化的不同云環(huán)境的獨(dú)特優(yōu)勢(shì)。然而，這也增加了他們?cè)苹A(chǔ)設(shè)施的規(guī)模和復(fù)雜性。

多云環(huán)境的更大復(fù)雜性導(dǎo)致了重大的多云安全挑戰(zhàn)。多云用戶面臨的一些主要挑戰(zhàn)包括：

• 數(shù)據(jù)保護(hù)和隱私：?57% 的組織發(fā)現(xiàn)根據(jù)公司政策和法規(guī)要求正確保護(hù)多云環(huán)境中的數(shù)據(jù)具有挑戰(zhàn)性。不同的環(huán)境具有不同的內(nèi)置安全控制和工具，難以實(shí)現(xiàn)一致的保護(hù)。
• 獲得云技能：?56% 的組織難以獲得必要的技能，以便在多云環(huán)境中部署和管理一致的安全性。這樣做需要在每個(gè)環(huán)境中都有深入的專業(yè)知識(shí)，隨著環(huán)境數(shù)量的增加，這變得更加困難。
• 解決方案集成：多云環(huán)境涉及來(lái)自多個(gè)供應(yīng)商的不同解決方案。50% 的組織難以理解安全解決方案如何協(xié)同工作。
• 失去可見性和控制：由于共享責(zé)任模型和對(duì)供應(yīng)商控制的基礎(chǔ)設(shè)施的依賴，在云中實(shí)現(xiàn)可見性和控制是很困難的。46% 的組織將此視為在多云環(huán)境中工作時(shí)的主要挑戰(zhàn)。

#2、云提供商

超過(guò)四分之三的組織 (76%) 使用兩個(gè)或更多云服務(wù)提供商，近四分之一 (24%) 使用五個(gè)以上。這種云基礎(chǔ)架構(gòu)的復(fù)雜性使得持續(xù)監(jiān)控和保護(hù)這些云環(huán)境變得困難。此外，超過(guò)一半的組織 (54%) 認(rèn)為其云提供商的內(nèi)置安全產(chǎn)品不如第三方供應(yīng)商的解決方案有效。

保護(hù)多云環(huán)境的復(fù)雜性可能會(huì)導(dǎo)致難以實(shí)現(xiàn)組織的主要安全目標(biāo)，包括：

• 防止云配置錯(cuò)誤：使用許多特定于供應(yīng)商的安全設(shè)置，確保所有設(shè)置都正確是復(fù)雜的。
• 保護(hù)已在使用的主要云應(yīng)用程序：由于 COVID-19 導(dǎo)致的快速遷移到云，許多安全團(tuán)隊(duì)都在迎頭趕上。
• 達(dá)到監(jiān)管合規(guī)性：快速的數(shù)字化轉(zhuǎn)型和不斷擴(kuò)大的監(jiān)管環(huán)境使合規(guī)變得復(fù)雜。
• 防御惡意軟件：隨著公司將重點(diǎn)轉(zhuǎn)移到云上，網(wǎng)絡(luò)威脅參與者也將注意力轉(zhuǎn)移到云上，這使得惡意軟件管理成為云中的優(yōu)先事項(xiàng)。

#3、自動(dòng)化與編排

隨著組織過(guò)渡到復(fù)雜的多云部署，自動(dòng)化和編排對(duì)于大規(guī)模維護(hù)安全性至關(guān)重要。組織使用各種安全工具來(lái)幫助實(shí)施安全控制和流程，包括：

• 模板化基礎(chǔ)設(shè)施即代碼 (IaC) 和安全即代碼（Terraform 或 AWS CloudFormation）48%
• 無(wú)服務(wù)器技術(shù)（Lamba 或 Azure 函數(shù)）：44%
• 持續(xù)集成和交付 (CI/CD) 插件（Jenkins 或 TeamCity）：44%
• 安全編排、自動(dòng)化和響應(yīng) (SOAR) 工具：41%
• 配置編排工具（Chef 或 Ansible）：41%
• Web 應(yīng)用程序防火墻(WAF)：5%

#4、DevOps 周期

通過(guò)將安全性集成到軟件開發(fā)生命周期 (SDLC) 的早期階段來(lái)轉(zhuǎn)移安全性，可以顯著降低違反法規(guī)遵從性要求的漏洞或代碼的成本和影響。組織在 SDLC 的各個(gè)階段實(shí)施 DevOps 安全性和合規(guī)性測(cè)試，包括：

• 系統(tǒng)測(cè)試和生產(chǎn)：52%
• 功能開發(fā)和單元測(cè)試：42%
• 分期：42%
• 無(wú)測(cè)試：10%
• 其他：27%

#5、運(yùn)營(yíng)安全

保護(hù)云可能具有挑戰(zhàn)性，尤其是在復(fù)雜的多云環(huán)境中。組織在嘗試保護(hù)其云工作負(fù)載時(shí)面臨的一些最大挑戰(zhàn)包括：

• 缺乏合格的員工：網(wǎng)絡(luò)安全行業(yè)正面臨嚴(yán)重的技能短缺，專業(yè)技能組合更難找到。因此，不到一半的組織 (45%) 找到合格的人員來(lái)填補(bǔ)關(guān)鍵的云安全角色。
• 合規(guī)性：大多數(shù)組織都受到許多不同的合規(guī)性法規(guī)的約束，并且法規(guī)環(huán)境正在迅速擴(kuò)大。隨著組織轉(zhuǎn)向云，39% 的人表示，在這種截然不同的 IT 環(huán)境中實(shí)現(xiàn)、維護(hù)和證明合規(guī)性是一項(xiàng)重大挑戰(zhàn)。
• 缺乏基礎(chǔ)設(shè)施安全可見性：云部署在共享責(zé)任模型下運(yùn)行，其中安全責(zé)任在云提供商和客戶之間劃分。如果在基礎(chǔ)設(shè)施堆棧的較低層沒有可見性和控制，并且無(wú)法部署傳統(tǒng)的安全解決方案，35% 的組織難以實(shí)現(xiàn)對(duì)其底層安全基礎(chǔ)設(shè)施的關(guān)鍵可見性。
• 識(shí)別錯(cuò)誤配置的難度：每個(gè)云平臺(tái)都有自己獨(dú)特的安全配置集，并且大多數(shù)組織與多個(gè)云提供商合作。對(duì)于 33% 的組織而言，其云環(huán)境的復(fù)雜性使得在被攻擊者利用之前快速識(shí)別和糾正錯(cuò)誤配置具有挑戰(zhàn)性。
• 設(shè)置一致的安全策略：在多個(gè)云環(huán)境中，組織面臨著各種不同的內(nèi)置安全工具和設(shè)置。因此，32% 的公司聲稱在其云基礎(chǔ)架構(gòu)中維護(hù)一致的安全策略是一項(xiàng)重大挑戰(zhàn)。
• 云安全自動(dòng)化：持續(xù)和自動(dòng)化的安全控制對(duì)于最大限度地降低網(wǎng)絡(luò)攻擊對(duì)基于云的資源的風(fēng)險(xiǎn)和影響至關(guān)重要。然而，31% 的組織在實(shí)施這些自動(dòng)化控制方面遇到了困難。
• 自動(dòng)安全實(shí)施：多云環(huán)境的范圍使得在組織的整個(gè)環(huán)境中手動(dòng)配置和實(shí)施安全是不可行的。自動(dòng)執(zhí)行是必不可少的，但被認(rèn)為是 28% 的組織面臨的主要挑戰(zhàn)。

#6、云合規(guī)

大多數(shù)組織都必須遵守各種數(shù)據(jù)保護(hù)法規(guī)和行業(yè)標(biāo)準(zhǔn)。但是，為云環(huán)境設(shè)計(jì)和實(shí)施合規(guī)策略與本地系統(tǒng)有很大不同。組織面臨的一些最大的云合規(guī)挑戰(zhàn)包括：

• 缺乏員工知識(shí)和專業(yè)知識(shí)：云合規(guī)性需要專業(yè)知識(shí)和專業(yè)知識(shí)，因?yàn)樗粌H需要所需控制的知識(shí)，還需要如何在云環(huán)境中實(shí)施它們。超過(guò)一半 (55%) 的組織指出，缺乏這種綜合監(jiān)管和云知識(shí)是他們最大的云合規(guī)挑戰(zhàn)。
• 不斷變化的環(huán)境：隨著監(jiān)管要求和云環(huán)境定期變化，云合規(guī)性是一場(chǎng)持續(xù)的斗爭(zhēng)。盡管云環(huán)境發(fā)生變化，但保持持續(xù)合規(guī)性是 43% 的組織所面臨的挑戰(zhàn)。
• 復(fù)雜的審計(jì)：合規(guī)審計(jì)和風(fēng)險(xiǎn)評(píng)估在組織擁有和控制其所有基礎(chǔ)設(shè)施的內(nèi)部部署可能令人生畏。42% 的組織指出，在對(duì)底層基礎(chǔ)設(shè)施的訪問(wèn)受限的云中這樣做是一項(xiàng)挑戰(zhàn)。
• 合規(guī)性監(jiān)控：保持合規(guī)性需要深入了解組織的系統(tǒng)和安全控制。由于難以在云中實(shí)現(xiàn)可見性，42% 的組織發(fā)現(xiàn)其基于云的基礎(chǔ)架構(gòu)中的合規(guī)性監(jiān)控很棘手。
• 不斷變化的要求：近年來(lái)，新法規(guī)正在迅速采用，現(xiàn)有標(biāo)準(zhǔn)也在不斷更新。對(duì)于 36% 的公司來(lái)說(shuō)，跟上不斷變化的需求是一項(xiàng)重大挑戰(zhàn)。
• 云漏洞管理：隨著多云基礎(chǔ)設(shè)施的擴(kuò)展，組織的數(shù)字攻擊面也隨之?dāng)U大。監(jiān)控云應(yīng)用程序和服務(wù)的漏洞對(duì)于防止數(shù)據(jù)泄露和違規(guī)行為至關(guān)重要。
• 合規(guī)自動(dòng)化：跨多云環(huán)境手動(dòng)維護(hù)和報(bào)告對(duì)多個(gè)法規(guī)的合規(guī)性是復(fù)雜且不可擴(kuò)展的。27% 的組織聲稱，擴(kuò)展和自動(dòng)化合規(guī)性是他們最大的云合規(guī)性挑戰(zhàn)之一。