云安全現(xiàn)狀、挑戰(zhàn)和安全事件

1、2022 云安全聯(lián)盟大中華區(qū)版權(quán)所有 1目錄 HYPERLINK l _TOC_250021 調(diào)查創(chuàng)建和方法 5 HYPERLINK l _TOC_250020 執(zhí)行摘要 6 HYPERLINK l _TOC_250019 關(guān)鍵發(fā)現(xiàn) 1 6 HYPERLINK l _TOC_250018 關(guān)鍵發(fā)現(xiàn) 2 7 HYPERLINK l _TOC_250017 關(guān)鍵發(fā)現(xiàn) 3 7 HYPERLINK l _TOC_250016 企業(yè)正在尋找補(bǔ)充其勞動(dòng)力的安全工具 7 HYPERLINK l _TOC_250015 使用公有云 8 HYPERLINK l _TOC_250014 組織機(jī)構(gòu)正在使用的公有云平

2、臺(tái) 8 HYPERLINK l _TOC_250013 公有云可以滿足期望 8 HYPERLINK l _TOC_250012 過去，現(xiàn)在和未來的云工作負(fù)載 9負(fù)責(zé)管理公有云安全的團(tuán)隊(duì) 9 HYPERLINK l _TOC_250011 云安全關(guān)注點(diǎn) 10 HYPERLINK l _TOC_250010 上云時(shí)的擔(dān)憂 10 HYPERLINK l _TOC_250009 解決云安全中技能差距 10 HYPERLINK l _TOC_250008 公有云中運(yùn)行應(yīng)用程序時(shí)的關(guān)注點(diǎn) 11工具 12 HYPERLINK l _TOC_250007 網(wǎng)絡(luò)安全控制措施 12 HYPERLINK l _TO

3、C_250006 應(yīng)用編排工具 12 HYPERLINK l _TOC_250005 從云安全管理工具獲得收益 13 HYPERLINK l _TOC_250004 云安全事故與中斷 13 HYPERLINK l _TOC_250003 云運(yùn)營的有關(guān)事故 13 HYPERLINK l _TOC_250002 中斷原因 14 HYPERLINK l _TOC_250001 最具破壞性的中斷造成的停機(jī)時(shí)間 14 HYPERLINK l _TOC_250000 調(diào)查對象 152022 云安全聯(lián)盟大中華區(qū)版權(quán)所有 4調(diào)查創(chuàng)建和方法云安全聯(lián)盟（CSA）是一個(gè)非營利組織，其使命是廣泛推廣云計(jì)算和 IT 技

4、術(shù)中網(wǎng)絡(luò)安全的最佳實(shí)踐。CSA 還負(fù)責(zé)指導(dǎo)行業(yè)中的各個(gè)利益相關(guān)者，了解所有其他計(jì)算形式的中的安全性問題。CSA 是行業(yè)從業(yè)者，公司，專業(yè)協(xié)會(huì)的廣泛聯(lián)盟。CSA 的主要目標(biāo)之一是進(jìn)行評估信息安全趨勢的調(diào)查。這些調(diào)查有助于評估信息安全技術(shù)在行業(yè)中各個(gè)方面的成熟度以及安全最佳實(shí)踐的采用率。領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商 AlgoSec 委托CSA 進(jìn)行此項(xiàng)調(diào)查，以增加業(yè)界對混合云和多云安全性的了解，并輸出調(diào)查報(bào)告結(jié)果。AlgoSec 資助該項(xiàng)計(jì)劃目，并與 CSA一起參與解決混合云安全性問題的調(diào)查。這項(xiàng)調(diào)查由 CSA 在 2020 年 12 月至 2021 年 1月之間在線進(jìn)行，并已提交給來自不同組織規(guī)

5、模和地點(diǎn)的近 1900 名IT 和安全專業(yè)人員。數(shù)據(jù)分析是由CSA 的研究小組完成。研究目的了解當(dāng)前和未來的云使用情況確立當(dāng)前階段上云和云部署過程中的安全問題確定組織用于解決安全問題的安全工具了解與云相關(guān)的安全事件的發(fā)生和原因2022 云安全聯(lián)盟大中華區(qū)版權(quán)所有 5執(zhí)行摘要在過去的十年中，云服務(wù)的使用持續(xù)增長。尤其是在發(fā)生 COVID-19 公共衛(wèi)生危機(jī)之后，許多企業(yè)的數(shù)字化轉(zhuǎn)型正在加速，以便讓員工能夠在家中工作。CSA 制定并分發(fā)了一項(xiàng)調(diào)查，以更好地了解當(dāng)前的云安全的問題、挑戰(zhàn)和事件。關(guān)鍵發(fā)現(xiàn) 1組織正繼續(xù)向復(fù)雜的云環(huán)境遷移超過一半的企業(yè)在公共云中運(yùn)行 41%或以上的工作負(fù)載，是自 2019

6、 年以來的顯著增長。2019 年發(fā)現(xiàn)只有 25%的企業(yè)在公共云中運(yùn)行 41%或更多的工作負(fù)載。2021 年， 63%的受訪者預(yù)計(jì)將在公共云中運(yùn)行 41%或更多的工作負(fù)載，這表明這種公共云的發(fā)展趨勢會(huì)持續(xù)進(jìn)行。毫無疑問，由于最近的健康危機(jī)，遠(yuǎn)程工作者的增加將進(jìn)一步起到推動(dòng)作用。CSA 在 2020 年進(jìn)行的另一項(xiàng)調(diào)查也表明，生產(chǎn)工作負(fù)載的多樣性（如容器平臺(tái)、虛擬機(jī)）也將增加。結(jié)合這一點(diǎn)與本次調(diào)查中發(fā)現(xiàn)的持續(xù)使用多云（62%）和不斷增長的遠(yuǎn)程勞動(dòng)力相結(jié)合，一個(gè)越來越復(fù)雜的云環(huán)境將繼續(xù)出現(xiàn)。為改善組織的公共云安全，這種復(fù)雜的環(huán)境將不可避免地導(dǎo)致對補(bǔ)充安全工具的需求。2022 云安全聯(lián)盟大中華區(qū)版權(quán)所

7、有 6關(guān)鍵發(fā)現(xiàn) 2對許多企業(yè)來說，云供應(yīng)商的本地安全控制是不夠的企業(yè)越來越多地轉(zhuǎn)向云供應(yīng)商的額外安全控制和虛擬防火墻。使用云供應(yīng)商的額外安全控制措施的比例從 2019 年的 58%躍升至 2021 年的 71%。約有一半的組織轉(zhuǎn)向第三方供應(yīng)商的虛擬版本的防火墻進(jìn)行網(wǎng)絡(luò)安全控制。這可能表明，雖然許多組織正在向公共云遷移，但許多企業(yè)仍在使用傳統(tǒng)和混合 IT 環(huán)境，這就需要在許多不同的環(huán)境中進(jìn)行統(tǒng)一控制。此外，由于目前的健康危機(jī)和遠(yuǎn)程勞動(dòng)力的急劇增加，許多組織無法像以前那樣保護(hù)他們的網(wǎng)絡(luò)安全，因此必須求助于額外的和替代性的安全控制措施。關(guān)鍵發(fā)現(xiàn) 3企業(yè)正在尋找補(bǔ)充其勞動(dòng)力的安全工具2022 云安全聯(lián)

8、盟大中華區(qū)版權(quán)所有 7復(fù)雜的環(huán)境，加上安全人員不足和缺乏云知識(shí)，促使組織轉(zhuǎn)向可以幫助補(bǔ)充其員工隊(duì)伍的安 全工具。組織尋找的安全管理工具中前四大好 處中的三個(gè)是用于主動(dòng)檢測風(fēng)險(xiǎn)和自動(dòng)化的 工具。這些類型的工具既可以解決許多組織缺 乏專業(yè)知識(shí)（47）和員工（32）所面臨的 挑戰(zhàn)，也可以提高他們朝著不斷變化的云環(huán)境 邁進(jìn)時(shí)的可見性。使用公有云673710% 11%659%組織機(jī)構(gòu)正在使用的公有云平臺(tái)沒有一個(gè)公有云市場的主導(dǎo)平臺(tái)。市 場頂級(jí)供應(yīng)商之間的份額變得更均勻地分 布。被調(diào)查的組織中有 67使用 AWS，而 Azure 以 65緊隨其后。大多數(shù)組織也利 用多云策略（62）。沒有一個(gè)公有云市場 的

9、主導(dǎo)平臺(tái)。市場頂級(jí)供應(yīng)商之間的份額 變得更均勻地分布。被調(diào)查的組織中有 67使用AWS，而 Azure 以 65緊隨其后。大多數(shù)組織也利用多云策略（62），其中有27的人使用了三個(gè)或更多公有云平臺(tái)。2022 云安全聯(lián)盟大中華區(qū)版權(quán)所有 8降低成本比預(yù)期的要差提供敏捷性和彈性對 DevOps 友好比預(yù)期的要好改善運(yùn)行時(shí)間公有云可以滿足期望通常而言，組織遷移到公有云源于提供商的承諾和期望，包括：降低成本、增加敏捷性、彈性、 DevOps 友好、正常運(yùn)行時(shí)間提高。一般，組織發(fā)現(xiàn)公有云會(huì)滿足甚至稍微超越這些期望。2022 云安全聯(lián)盟大中華區(qū)版權(quán)所有 9負(fù)責(zé)管理公有云安全的團(tuán)隊(duì)受訪者報(bào)告說，有各種各樣的

10、團(tuán)隊(duì)負(fù)責(zé)管理公有云安全。安全運(yùn)營(35)，其次是云團(tuán)隊(duì)（18）和IT 運(yùn)營（16）。其他所有團(tuán)隊(duì)，包括網(wǎng)絡(luò)運(yùn)營、DevOps 工程師/經(jīng)理、應(yīng)用程序所有者和托管服務(wù)提供商，均下降到 10以下。在這點(diǎn)上，各個(gè)組織之間并沒有那么多的一致性，關(guān)于哪個(gè)團(tuán)隊(duì)對公有云安全負(fù)責(zé)也或許存在疑惑。過去，現(xiàn)在和未來的云工作負(fù)載組織被要求根據(jù)當(dāng)前云端工作負(fù)載的百分比預(yù)測他們在 2021 年底的運(yùn)行情況。在我們之前的調(diào)查中，我們對他們 2019 年的工作負(fù)載提出了類似的問題，并預(yù)測了他們在 2020 年底的云工作負(fù)載百分比。我們在上圖中包括了所有四個(gè)估算值。與 2019年實(shí)際云工作負(fù)載相比，2020 年實(shí)際云工作負(fù)載

11、分別在 41-60%、61-80%、81-100%范圍內(nèi)顯著增加。1-20%的范圍出現(xiàn)了相應(yīng)的下降，雖然不像之前報(bào)告中預(yù)測的那樣顯著。另一方面，云工作負(fù)載處于 21至 40范圍內(nèi)的組織百分比保持相對不變，維持在 21的比例，這表明云工作負(fù)載要超過 40的比例還需要更多的時(shí)間。也許是由于關(guān)注更多樣化的工作負(fù)載，而不是重新托管方式，這在 CSA 之前的調(diào)查中已經(jīng)提過。云安全關(guān)注點(diǎn)上云時(shí)的擔(dān)憂解決云安全中技能差距受訪者被要求選擇他們的組織在采用公有云時(shí)遇到的麻煩。最常選擇的回復(fù)是“網(wǎng)絡(luò)安全”（58）。其次是“工作人員缺乏云專業(yè)知識(shí)”（47），“工作負(fù)載遷移到云”（44）和“管理 云環(huán)境的人員數(shù)量不足

12、”（32）。值得注意的是，第二個(gè)、第四個(gè)最常見的選擇都與人員問題有關(guān)， 79的比例超過了最頻繁選擇的響應(yīng)“網(wǎng)絡(luò)安全”。在CSA2019 年發(fā)布的另一個(gè)調(diào)查中，類似的問題 也被問到。對比二者存在明顯的變化，因?yàn)榍八?個(gè)中的三個(gè)（工作人員缺乏云專業(yè)知識(shí)，將工作 負(fù)載遷移到云中，以及員工數(shù)量不足以管理云環(huán) 境）以前在后四位。這種巨大的轉(zhuǎn)變可以歸因于 應(yīng)對當(dāng)前的疫情危機(jī)。許多組織可能正在努力解 決大部分遠(yuǎn)程勞動(dòng)力問題。行業(yè)員工培訓(xùn)和認(rèn)證（例如 CSA、ISC2、ISACA、 SANS）其他（請指定）確定未處理外包人員來自供應(yīng)商的客戶培訓(xùn)產(chǎn)品非正式或員工自我培訓(xùn)組織解決技能差距前三種方式是“行業(yè)員工培訓(xùn)

13、和認(rèn)證”（55），“非正式或員工自我培訓(xùn)”（54），和“來自供應(yīng)商的客戶培訓(xùn)產(chǎn)品”2022 云安全聯(lián)盟大中華區(qū)版權(quán)所有 10（53）。較少選擇，27的人員是外包人員最少選擇的選項(xiàng)是“未解決占 7。2022 云安全聯(lián)盟大中華區(qū)版權(quán)所有 11公有云中運(yùn)行應(yīng)用程序時(shí)的關(guān)注點(diǎn)受訪者也被問到應(yīng)用程序在公有云中運(yùn)行時(shí)的擔(dān)憂平均而言，排名最高的安全問題是“敏感數(shù)據(jù)泄漏”，這與上一次 2019 年的調(diào)查一致。 “停機(jī)”、“配置和安全設(shè)置”、“未經(jīng)授權(quán)的內(nèi)部訪問”、“合規(guī)性”符合法規(guī)要求”和“勒索軟件”獲得了中等關(guān)注度的平均排名。盡管“供應(yīng)商技術(shù)漏洞”獲得的最低排名，但也獲得了略低于平均的關(guān)注度。SolarWi

14、nds發(fā)生黑客入侵的報(bào)道公布時(shí)，這項(xiàng)調(diào)查正在進(jìn)行，實(shí)際結(jié)果有些令人驚訝。不過，即使這個(gè)問題更加突出，它仍然是排名最低的問題。需要求助于第三方的“傳統(tǒng)防火墻的虛擬化版本”。工具網(wǎng)絡(luò)安全控制措施為了更好地了解組織如何推進(jìn)其公有云的部署安全性，受訪者被問到他們使用的網(wǎng)絡(luò)安全控制措施。許多受訪者表示使用了多種控件。最常用的選項(xiàng)是“云提供商的原生安全控制措施”（74），與CSA 之前的調(diào)查一致。緊隨其后的是“云服務(wù)商的附加安全控制措施”（占 71），與之前報(bào)告的58顯著上升。但是，將近50的受訪者發(fā)現(xiàn)了僅這些工具還不夠，應(yīng)用編排工具安全管理可以采取多種安全應(yīng)用編排形式。受訪者被問及他們當(dāng)前在應(yīng)用中用于管

15、理安全性的工具編排流程。超過一半的受訪者表示使用了云原生工具(52)和編排、配置管理工具(50)。約有三分之一的受訪者表示使用自制腳本(35)和手動(dòng)流程管理安全(29)。2022 云安全聯(lián)盟大中華區(qū)版權(quán)所有 12從云安全管理工具獲得收益當(dāng)被問及他們從安全管理工具尋求的好處時(shí)，排名最高回復(fù)是可見性。這是云環(huán)境特別是隨著混合和多云環(huán)境的普及情況下，很常見的投訴。緊接在關(guān)注可見性之后的是主動(dòng)檢測網(wǎng)絡(luò)風(fēng)險(xiǎn)和主動(dòng)檢測錯(cuò)誤配置的能力。受訪者分別將跨不同安全控制措施的統(tǒng)一變更管理自動(dòng)化和合規(guī)性排到第四和第五。組織正在尋找工具主要用于解決他們當(dāng)前面臨的人員和云專業(yè)知識(shí)缺乏的挑戰(zhàn)。云安全事故與中斷云運(yùn)營的有關(guān)事

16、故許多組織嘗試為安全事件(如破壞或中斷)做好準(zhǔn)備。當(dāng)被問及組織中過去的一年中是否發(fā)生過云運(yùn)營相關(guān)的事件時(shí)，11%的受訪者明確表示發(fā)生過安全事件，20%的受訪者表示沒有發(fā)生任何事件，27%的受訪者表示不愿回答。然而有 41%的受訪者表示不確定，這與 2019 年的調(diào)查相比是一個(gè)重大的變化，在 2019 年的調(diào)查中只有 18%的受訪者表示不知道是否發(fā)生了事故。同樣有趣的是，表示發(fā)生過事故的受訪者比例(11%)與 2019 年的調(diào)查保持一致。有安全事不確定 沒有事件不愿回答受訪者還被要求報(bào)告他們經(jīng)歷過的事故數(shù)量，平均回答為 5 次?？紤]到大型云平臺(tái)在一周內(nèi)會(huì)發(fā)生許多事件，雖然2022 云安全聯(lián)盟大中華區(qū)版權(quán)所有 13許多事件可能不足以對用戶造成重大影響，但 5 次這仍然是一個(gè)較低的數(shù)量。2022 云安全聯(lián)盟大中華區(qū)版權(quán)所有 14中斷原因在關(guān)于事件數(shù)量的問題之后，受訪者被問及造成這些事件的主要原因。排在首位的反饋原因是云服務(wù)商的問題 (26%)，其次是安全配置錯(cuò)誤(22%)，以及拒絕服務(wù)等安全攻擊(20%)。還有少部分反饋是網(wǎng)絡(luò)帶寬問題(16%)和內(nèi)部威脅(7%)。排在前幾位的原因可以歸納為人為失誤或配置錯(cuò)誤，這很有可能是組織缺少人員配備或?qū)I(yè)技能造成的，也是組織亟需解決的問題。最具破壞性的中斷造成的停機(jī)時(shí)間受訪者還被問及最具破壞性云中斷所造成的影響，超過 25%的受訪者反饋