2022年云原生安全現(xiàn)狀報(bào)告:探尋云擴(kuò)張的成功之路_第1頁
2022年云原生安全現(xiàn)狀報(bào)告:探尋云擴(kuò)張的成功之路_第2頁
2022年云原生安全現(xiàn)狀報(bào)告:探尋云擴(kuò)張的成功之路_第3頁
2022年云原生安全現(xiàn)狀報(bào)告:探尋云擴(kuò)張的成功之路_第4頁
2022年云原生安全現(xiàn)狀報(bào)告:探尋云擴(kuò)張的成功之路_第5頁
已閱讀5頁,還剩43頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

22022年云原生安全現(xiàn)狀報(bào)告探尋云擴(kuò)張的成功之路簡(jiǎn)介 3執(zhí)行摘要 4云擴(kuò)張與策略 4安全態(tài)勢(shì)及摩擦 4安全驅(qū)動(dòng)程序 4云和云原生安全的全球現(xiàn)狀 5疫情期間的云發(fā)展情況 5云遷移安全挑戰(zhàn) 8高性能的企業(yè)屬性 9安全態(tài)勢(shì)和支出 9企業(yè)如何實(shí)現(xiàn)更強(qiáng)大的安全態(tài)勢(shì) 11開源安全工具的影響 12確定云群體并從中汲取經(jīng)驗(yàn) 13哪個(gè)群體最能描述您的企業(yè)? 14云采用群體的現(xiàn)狀 14云擴(kuò)張迅速具有兩極分化的結(jié)果 16安全供應(yīng)商、工具和團(tuán)隊(duì)的作用 18最佳安全性的群體采用情況 20結(jié)語 23方法和統(tǒng)計(jì) 23關(guān)于 24PaloAltoNetworks 24PrismaCloud 242022年云原生安全現(xiàn)狀報(bào)告2在這些年度云原生安全現(xiàn)狀報(bào)告中,全球3,000多名受訪者接受了有關(guān)其云采用策略、預(yù)算、經(jīng)驗(yàn)和計(jì)劃的調(diào)查。他們的回答揭示了用于實(shí)施云工作負(fù)載和管理云原生架構(gòu)安全性的實(shí)踐、工具和技術(shù)。與2020年的報(bào)告一樣,我們的目標(biāo)是突出在云計(jì)劃中取得成功的企業(yè)以及未能實(shí)現(xiàn)目標(biāo)的企業(yè)的行為和關(guān)聯(lián)成果。各企業(yè)的云安全解決方案呈現(xiàn)出明顯差異。其中包括他們實(shí)施技術(shù)和流程以支持高安全態(tài)勢(shì)(定義為云安全工作的有效性)和低安全摩擦(定義為云安全限制其運(yùn)營的程度)的差異。毋庸置疑,新冠疫情影響了云擴(kuò)張和成果(請(qǐng)參閱“新冠疫情的持續(xù)影響”)。盡管各企業(yè)在疫情期間迅速采取行動(dòng)應(yīng)對(duì)不斷增長的云需求,但許多企業(yè)仍在實(shí)現(xiàn)云安全自動(dòng)化并降低云風(fēng)險(xiǎn)方面面臨困境。然而,從那些剛開始利公司都在持續(xù)向云遷移。該報(bào)告確定了方法和成果的模式,生成了三個(gè)具有代表性的群體,即采用有限企業(yè)、擴(kuò)張迅速企業(yè)和成熟用戶。這些群體是根據(jù)云足跡、轉(zhuǎn)型目標(biāo)和運(yùn)營策略等特征生成的。我們將這些群體與嚴(yán)謹(jǐn)?shù)臄?shù)據(jù)和群體行為分析一同呈現(xiàn),以幫助讀者找到自己的同行群體,并確定影響成果的共同挑戰(zhàn)和策略。無論您企業(yè)的云成熟度級(jí)別、行業(yè)、地2022年云原生安全現(xiàn)狀報(bào)告3隨著云的獨(dú)特功能不斷發(fā)展,我們利用云推動(dòng)業(yè)務(wù)發(fā)展的方式也在不斷變化。因此,本報(bào)告中的研究特別關(guān)注云原生安全社區(qū)中最新的首要問題和內(nèi)容,包括自動(dòng)化、DevSecOps、安全態(tài)勢(shì)、開源的使用等。我們每年制作本報(bào)告的宗旨始終如一:為您提供寶貴的見解,并在2022年及以后的云采用和安全之旅中為您提供指導(dǎo)。?疫情期間,企業(yè)的云使用量在整體上迅速提高了25%以上,但在綜合安全性、合規(guī)性和技術(shù)復(fù)雜性方面陷入?各企業(yè)以更少的預(yù)算增加了對(duì)云的使用,39%的企業(yè)在云方面的支出低于1000萬美元(與2020年相比增長16%),只有26%的企業(yè)的云支出超過5000萬美元(與2020年相比下降17%)。?雖然各企業(yè)仍在繼續(xù)使用各種計(jì)算選項(xiàng),但平臺(tái)即服務(wù)(PaaS)和無服務(wù)器方法的使用率增長了20%,這些方法可以支持快速過渡到云,而容器和容器即服務(wù)(CaaS)的使用率增長情況則較為平緩。?具有強(qiáng)大安全態(tài)勢(shì)的企業(yè)出現(xiàn)較少安全摩擦(企業(yè)認(rèn)為云安全支持或限制其運(yùn)營的程度)的可能性要高出2倍以了對(duì)云安全采用雙管齊下的方法的必要性,既可利用卓有成效的安全功能,又不會(huì)干擾安全運(yùn)營之外?如果企業(yè)擁有一流的安全運(yùn)營,員工可在工作效率和滿意度方面享受最大紅利。80%安全態(tài)勢(shì)強(qiáng)大的企業(yè)和85%安全摩擦較少的企業(yè)均表示,員工工作效率有所提高。?大多數(shù)企業(yè)(55%)反映自身安全態(tài)勢(shì)薄弱,并認(rèn)為他們需要改進(jìn)其基礎(chǔ)活動(dòng)(例如獲得多云可視性、跨賬戶應(yīng)用更一致的監(jiān)管或簡(jiǎn)化事件響應(yīng)和調(diào)查)以實(shí)現(xiàn)更強(qiáng)大的態(tài)勢(shì)。?主要使用開源安全工具的企業(yè)中,有80%的企業(yè)安全態(tài)勢(shì)薄弱或非常薄弱,而主要利用其云服務(wù)提供商的企業(yè)中,這一比例為26%,依賴第三方的企業(yè)中,這一比例為52%,這表明使用不同的工具拼湊平臺(tái)會(huì)降低企業(yè)的企業(yè)數(shù)量比2020年增加了27%,這表明他們正在減少安全供應(yīng)商并獲得更多功能。?企業(yè)采用和實(shí)施DevSecOps方法的程度是衡量一流安全性的主要指標(biāo)。緊密集成DevSecOps原則的企業(yè)擁有強(qiáng)大或非常強(qiáng)大的安全態(tài)勢(shì)的可能性要高達(dá)7倍以上,而安全摩擦較少的可能性要高達(dá)9倍以上。2022年云原生安全現(xiàn)狀報(bào)告431%631%69%影響今年的調(diào)查于2021年5月開展,即新冠疫情迫使人們居家隔離后一年多。我們的受訪者提供了他們?cè)谶^去12個(gè)月(從2020年6月到2021年6月)中做出的業(yè)務(wù)決策,這段時(shí)期代表了二戰(zhàn)以來最嚴(yán)重的全球社會(huì)經(jīng)濟(jì)動(dòng)蕩時(shí)期。這些企業(yè)所做的決策是為了應(yīng)對(duì)云交付服務(wù)需求方面意想不到的巨變,這種變化幾乎同時(shí)在全球范圍內(nèi)上演,并對(duì)每個(gè)行業(yè)產(chǎn)生以下“如果沒有在整個(gè)開發(fā)管道中嵌入自動(dòng)化的安全控制,快速的云擴(kuò)張和復(fù)雜性這二者結(jié)合會(huì)造成危害?!焙途€上醫(yī)療的快速過渡大幅增加了在線協(xié)作和會(huì)議工具的使用。型應(yīng)用的迫切需求激增。轉(zhuǎn)向接觸較少的網(wǎng)購和外賣用餐。鏈管理,各方各面對(duì)云基礎(chǔ)設(shè)施支持的需求越來越大。隨著各公司競(jìng)相滿足意想不到的新需求,他們發(fā)現(xiàn)自己正面臨另一種全球威脅:網(wǎng)絡(luò)攻擊。PaloAltoNetworks的一份關(guān)于新冠疫情的Unit42云威脅報(bào)告指出,“安全事件的爆炸式增長”與疫情最初六個(gè)遷移到云在本報(bào)告的第一部分,我們回顧了全球企業(yè)報(bào)告的云采用和云安全活動(dòng)的廣泛趨勢(shì)。(有關(guān)報(bào)告中調(diào)查對(duì)象的詳細(xì)部分。)發(fā)展情況疫情期間,云工作負(fù)載總體顯著增加,云托管工作負(fù)載比例從2o2o年的平均46%躍升至平均59%。此外,69%的企業(yè)將一半以上的工作負(fù)載托管在云中,而2020年這一比例僅為31%。446%59%圖1:2020年以來的云工作負(fù)載量變化情況(百分比)2022年云原生安全現(xiàn)狀報(bào)告5各企業(yè)秉承前瞻性理念,自去年以來沒有顯著改變他們對(duì)云使用方式的期望。平均而言,各企業(yè)預(yù)計(jì)在兩年內(nèi)將68%的工作負(fù)載托管在云中,這與去年65%的預(yù)期基本一致。盡管疫情期間的轉(zhuǎn)變速度比許多企業(yè)預(yù)期的要隨著企業(yè)轉(zhuǎn)向私有云工作負(fù)載托管,今年云的構(gòu)成也發(fā)生了變化,平均55%的云工作負(fù)載托管在私有云上,比2020年增加了7個(gè)百分點(diǎn)。雖然各企業(yè)仍在繼續(xù)使用各種計(jì)算選項(xiàng),但PaaS和無服務(wù)器方法的使用率增長了2o%,而容器和CaaS的使用率增長情況則較為平緩。PaaS和無服務(wù)器策略允許開發(fā)團(tuán)隊(duì)將應(yīng)用放在云中,而無需同時(shí)構(gòu)建和擴(kuò)展基礎(chǔ)架構(gòu),這可能有助于支持過去一年中向云的快速過渡。這是我們預(yù)計(jì)將繼續(xù)進(jìn)行并將密切關(guān)公有48%52%2020私有55%4545%20%2021虛擬機(jī)容器CaaSPaaS和無服務(wù)器其他202120202021202020212020202120202021202024%30%17%24%13%121%122%4%3%42%圖2:公有云與私有云中托管的工作負(fù)載份額(左);按計(jì)算類型劃分的工作負(fù)載份額(右)在研究企業(yè)擴(kuò)展其云功能的原因時(shí),我們發(fā)現(xiàn)戰(zhàn)略業(yè)務(wù)驅(qū)動(dòng)因素推動(dòng)了這一增長,這些因素包括應(yīng)用現(xiàn)代化、保持競(jìng)爭(zhēng)力和控制基礎(chǔ)設(shè)施開銷。雖然疫情無疑是今年報(bào)告中的一個(gè)影響因素,但總體而言,這些原因仍然是企業(yè)選擇企業(yè)的業(yè)務(wù)發(fā)展速度越來越快。應(yīng)用現(xiàn)代化保持市場(chǎng)競(jìng)爭(zhēng)力降低基礎(chǔ)架構(gòu)開銷合規(guī)性參與更廣泛的數(shù)字化轉(zhuǎn)型工作提高開發(fā)人員的敏捷性誕生于云/始終在云端61%53%51%142%140%39%16%圖3:擴(kuò)展云功能的原因2022年云原生安全現(xiàn)狀報(bào)告621%<$10M39%日本報(bào)告稱未來24個(gè)月21%<$10M39%日本報(bào)告稱未來24個(gè)月內(nèi),無服務(wù)器架構(gòu)的使用量增幅最大(57%),這一比例高于其他所有架構(gòu)。近半數(shù)(47%)的美國受訪者表示安全態(tài)勢(shì)強(qiáng)大或非常強(qiáng)大,這一比例與其他國家/地區(qū)相比更高。在巴西,近一半(48%)的受訪者預(yù)計(jì)其公司在未來兩年內(nèi)將有76-100%的工作負(fù)載在云中,這表明了各企業(yè)向云敞開懷抱的趨勢(shì)。支出在1ooo萬美元以內(nèi),與2020年相比增加16%,只有26%的企業(yè)的云支出超過5ooo萬美元,與2020年相比下降17%。云支出的下降可能是由于疫情導(dǎo)致全面預(yù)算削減或資金重新分配的結(jié)果,也可能只是反映了云活降。 $¥ €26%$50M46%2020年,21%的企業(yè)對(duì)云的投2021年,這一比例增至39%。云預(yù)算超過5000萬美元的企業(yè)從資不到1000萬美元。46%下降到26%。圖4:云預(yù)算的變化雖然不同行業(yè)、地域和收入的云采用方式略有不同,但數(shù)據(jù)表明這些差異在整體結(jié)果中并沒有發(fā)揮重要作用。也就德國報(bào)告的自動(dòng)化安全流程比例最高(40%)。與任何其他接受調(diào)查的國家/地區(qū)相比,英國使用更多開源工具作為其主要云安全提供商。圖5:云趨勢(shì)(按全球地區(qū)劃分)2022年云原生安全現(xiàn)狀報(bào)告7過去一年,各企業(yè)迅速擴(kuò)大了對(duì)云的使用,他們報(bào)告的最大挑戰(zhàn)與去年的受訪者相同,即綜合安全性和合規(guī)性以及維護(hù)全面安全性滿足合規(guī)性要求技術(shù)復(fù)雜性20212020202120202021202050%39%42%32%145%42%圖6:云遷移挑戰(zhàn)雖然最高云預(yù)算有所下降,但云安全預(yù)算仍保持穩(wěn)定。這意味著,雖然各企業(yè)的總體云支出較少,但是他們的安全預(yù)算沒有打折扣。這突出表明各公司了解保護(hù)云以便充超過3o人,這一比例高于去年的41%。此外,各公司在擴(kuò)展云環(huán)境時(shí)還整合了他們的云安全供應(yīng)商。數(shù)據(jù)顯示,自去年以來,僅使用一到五個(gè)安全供應(yīng)商的企業(yè)數(shù)量增加了27%,而使用六到十個(gè)供應(yīng)商的企業(yè)數(shù)量下降了19%。44%20201515%2021圖7:受訪者將超過20%的云預(yù)算用于安全方面80%60%40%20%0%1-5個(gè)安全供應(yīng)商6-10個(gè)安全供應(yīng)商68%41%41%39%120%20%202022020圖8:安全供應(yīng)商數(shù)量的變化2022年云原生安全現(xiàn)狀報(bào)告8雖然各公司減少了他們合作的安全供應(yīng)商的數(shù)量,但他們所利用的安全工具的數(shù)量同比變化很小。我們將云安全供應(yīng)商定義為企業(yè)雇用來保護(hù)其云和安全工具的所有公司,依據(jù)是這些網(wǎng)絡(luò)安全公司提供的能力和/或功能的數(shù)量。近四分之三的企業(yè)使用1o種或更少的安全工具,這表明他們正致力于通過更少的安全供應(yīng)商來滿足大量功能需求。這種整合可得出以下觀察結(jié)果,即依賴多個(gè)供應(yīng)商的不同工具的企業(yè)可能會(huì)遇到盲點(diǎn),因此增加風(fēng)險(xiǎn)并需要額外工作來縮小這些差距。28%的企業(yè)仍在使用大量工具(其中8%的企業(yè)使用21到50多種工具),我們會(huì)為他在使用21種或更多安全工具的企業(yè)中,幾乎所有(91%)企業(yè)都要通過六個(gè)或更多供應(yīng)商來提供這些工具。為了同時(shí)管理諸多工具,這些企業(yè)需具備更大的團(tuán)隊(duì)來管理和支持云工作負(fù)載安全;其中近一半(49%)的企業(yè)雇用了50多名員工來管理云安全。因此,收入更高的公司更有可能使用更多工具,這一點(diǎn)也許不足為奇。在收入達(dá)10億美者中,這一比例只有3%。除了安全供應(yīng)商和工具的使用差異之外,我們還調(diào)查了成功實(shí)現(xiàn)云擴(kuò)張的企業(yè)的安全屬性。該研究強(qiáng)調(diào)了云原生安的影響。業(yè)評(píng)估其云安全工作有效性的方式。業(yè)認(rèn)為云安全支持或限制其運(yùn)營的程度。為衡量云安全態(tài)勢(shì),我們?cè)儐柫耸茉L者對(duì)于六項(xiàng)陳述的認(rèn)同度。受訪者對(duì)這些陳述的認(rèn)同度越高,說明他們對(duì)企業(yè)云安全態(tài)勢(shì)的整體認(rèn)知就越強(qiáng)。我們發(fā)現(xiàn),安全態(tài)勢(shì)薄弱的企業(yè)略多一些(55%)。更具體地說,這些企業(yè)認(rèn)為需要加強(qiáng)他們基礎(chǔ)活動(dòng)(例如獲得多云可視性、跨帳戶應(yīng)用更一致的監(jiān)管或簡(jiǎn)化事件響應(yīng)和調(diào)查)的效果。具有強(qiáng)大安全態(tài)勢(shì)的企業(yè)往往安全支出更多。三分之二以上擁有強(qiáng)大或非常強(qiáng)大的安全態(tài)勢(shì)的企業(yè)將16%或更多云預(yù)算用于安全方面。在安全態(tài)勢(shì)薄弱或非常薄弱的企業(yè)中,只有不到五分之一的企業(yè)將相同比例的云預(yù)算用于安全方面?!鞍踩珣B(tài)勢(shì)強(qiáng)大”的企業(yè)似乎也計(jì)劃增加其安全支出。近四分之三(71%)安全態(tài)勢(shì)強(qiáng)大或非常強(qiáng)大的企業(yè)計(jì)劃在未來12個(gè)月內(nèi)將16%或更多云預(yù)算用于安全方面,而在安全態(tài)勢(shì)薄弱或非常薄弱的企業(yè)中,這一比例只有46%。我們的安全工具提供對(duì)所有云帳戶和資源的可視性我們的風(fēng)險(xiǎn)和漏洞優(yōu)先級(jí)極為有用我們的自動(dòng)化運(yùn)行時(shí)保護(hù)為工作負(fù)載提供了強(qiáng)大的安全基線我們的安全工具為所有云原生應(yīng)用和資源提供強(qiáng)大的監(jiān)管策略云安全態(tài)勢(shì)我們的安全工具有助于輕松維護(hù)合規(guī)環(huán)境并輕松生成審計(jì)就緒報(bào)云安全態(tài)勢(shì)我們的安全工具有助于更輕松地開展調(diào)查和響應(yīng)事件非常強(qiáng)大6%強(qiáng)大39%45%強(qiáng)大云安全態(tài)勢(shì)薄弱33%非常薄弱22%55%薄弱云安全態(tài)勢(shì)圖9:影響安全態(tài)勢(shì)的因素(左);安全態(tài)勢(shì)強(qiáng)大或薄弱的企業(yè)比例(右)2022年云原生安全現(xiàn)狀報(bào)告929%90%80%70%60%50%為了分析云安全摩擦,我們?cè)儐柺茉L者對(duì)于兩項(xiàng)陳述(關(guān)于云采用和云安全帶來的業(yè)務(wù)成果)的認(rèn)同度。受訪者對(duì)29%90%80%70%60%50%這些陳述的認(rèn)同度越高,說明他們對(duì)企業(yè)云安全摩擦的整體認(rèn)知就越強(qiáng)。關(guān)于這個(gè)問題,我們發(fā)現(xiàn)只有不到一半(48%)的企業(yè)認(rèn)為他們的安全摩擦較少。云安全摩擦云安全摩擦由于云安全方面的問題,我們的云擴(kuò)張未達(dá)到預(yù)期投資回報(bào)率安全流程導(dǎo)致我們的項(xiàng)目時(shí)間安排有所延遲高摩擦中摩擦低摩擦24%28%48%圖10:引起企業(yè)摩擦的因素(左);具有高、中或低摩擦的企業(yè)比例(右)通過結(jié)合這兩個(gè)指標(biāo),我們發(fā)現(xiàn)實(shí)現(xiàn)低安全摩擦對(duì)于加強(qiáng)安全態(tài)勢(shì)而倍多。這凸顯了對(duì)云安全采取雙管齊下的方法的必要性:各企業(yè)應(yīng)努力獲得最有效的安全功能,但他們需要確保這些工具和流程不會(huì)干擾除了出色的運(yùn)營之外,我們還發(fā)現(xiàn)了實(shí)現(xiàn)這些一流安全成果的其他優(yōu)勢(shì)。在實(shí)現(xiàn)了高安全態(tài)勢(shì)和低摩擦的企業(yè)中,員工在工作效率和滿意度方面享受了最大紅利,超過8o%的安全摩擦較少的企業(yè)提高或顯員工滿意度。771%例提升工作效率提升滿意度非常薄弱薄弱強(qiáng)大安全態(tài)勢(shì)等級(jí)安全態(tài)勢(shì)進(jìn)行對(duì)比2022年云原生安全現(xiàn)狀報(bào)告1022%16%現(xiàn)更強(qiáng)大的安全態(tài)勢(shì)22%16%接下來,我們研究了表現(xiàn)最好的企業(yè)為減少企業(yè)摩擦及改善整體安全態(tài)勢(shì)而采取的方法。實(shí)現(xiàn)這種一流的均衡安全:?DevSecOps集成-云安全接觸點(diǎn)集成到整個(gè)開發(fā)生命周期(從構(gòu)建到運(yùn)行時(shí))的程度。?云安全自動(dòng)化-云安全自動(dòng)化的程度。我們要求受訪者在回答四個(gè)問題時(shí)以“從不”到“總是”的等級(jí)為他們企業(yè)的DevSecOps集成程度打分。DevSecOps集成交付周期的要求和設(shè)計(jì)階段交付周期的構(gòu)建階段交付周期的測(cè)試階段交付周期的部署階段具有高度DevSecOps集成的團(tuán)隊(duì)比例661%化團(tuán)隊(duì)高自動(dòng)化團(tuán)隊(duì)低自動(dòng)化團(tuán)化團(tuán)隊(duì)高自動(dòng)化團(tuán)隊(duì)圖13:影響DevSecOps集成衡量的因素(左);將DevSecOps集成與自動(dòng)化級(jí)別進(jìn)行對(duì)比(右)企業(yè)采用和實(shí)施DevSecOps方法的程度是衡量一流安全性的主要指標(biāo)。將DevSecOps原則緊密集成到開發(fā)生命周期中的企業(yè)擁有強(qiáng)大或非常強(qiáng)大的安全態(tài)勢(shì)的可能性要高達(dá)7倍以較少的可能性要高達(dá)9倍以上。為了衡量自動(dòng)化程度,我們要求受訪者評(píng)估他們的企業(yè)對(duì)五種安全實(shí)踐的自動(dòng)化程度,等級(jí)從“完全手動(dòng)”到“完全自超過7倍擁有強(qiáng)大或非常強(qiáng)大的安全態(tài)勢(shì)的可能性要高達(dá)7倍以上并且9倍安全摩擦較少的可能性要高達(dá)9倍以上圖14:緊密集成DevSecOps原則的企業(yè)成果全自動(dòng)化登錄云帳戶以實(shí)現(xiàn)可視性錯(cuò)誤配置補(bǔ)救措施掃描基礎(chǔ)架構(gòu)即代碼(IaC)模板在CI/CD期間掃描容器映像安全警報(bào)的票證創(chuàng)建772%自動(dòng)化團(tuán)隊(duì)低安全摩擦的團(tuán)隊(duì)比例3838%團(tuán)隊(duì)441%低自動(dòng)化團(tuán)隊(duì)圖15:影響自動(dòng)化衡量的因素(左);將安全摩擦與自動(dòng)化水平進(jìn)行對(duì)比(右)2022年云原生安全現(xiàn)狀報(bào)告3%2%80%72%60%41%38%40%25%20% 0%CSPCSP3%2%80%72%60%41%38%40%25%20% 0%CSPCSP低安全摩擦百分比強(qiáng)大/非常強(qiáng)大的安全態(tài)勢(shì)百分比100%83%331%自動(dòng)化中級(jí)別自動(dòng)化自動(dòng)化各企業(yè)針對(duì)其安全工具提供商采取了多種方法,將云服務(wù)提供商(CSP)、第三方和開源安全工具加以利用。然而,與使用第三方或CSP方法的同行相比,主要依賴開源工具的企業(yè)的預(yù)算通常較少,但萬萬沒想到,這些團(tuán)隊(duì)比使用第三方或CSP提供商工具的團(tuán)隊(duì)規(guī)模更大,7o%主要依賴開源工具的企業(yè)報(bào)告稱其安全團(tuán)隊(duì)有3o名或更。16%29%29%21%5%主要安全提供商25%18%36%18%第三方主要安全提供商14%47%32%5%開源主要安全提供商7%26%39%21%7%均衡安全提供商安全支出占云預(yù)算百分比1–5%6–10%11–15%21–30團(tuán)隊(duì)規(guī)模少于20人16–20%51+3151+21%10%36%28%26%主要安全提供商13%34%27%26%第三方主要安全提供商17%53%20%10%開源主要安全提供商19%36%33%12%均衡安全提供商圖17:安全提供商和團(tuán)隊(duì)預(yù)算(上)以及規(guī)模(下)2022年云原生安全現(xiàn)狀報(bào)告212%64%15%9%CSP6%6%442%32%20%第三方非常薄弱薄弱1%19%51%29%強(qiáng)大非常強(qiáng)大2%15%43%40%衡圖18:安全提供商和安全態(tài)勢(shì)總的來說,數(shù)據(jù)表明開源安全工具無法提供全面集成方法來滿足企業(yè)正在尋找的所有能力和功能。成功利用開源安全工具的企業(yè)似乎只是將預(yù)算成本轉(zhuǎn)移到勞動(dòng)力上,以此為他們的工作提供支持。希望采用開源工具的企業(yè)應(yīng)準(zhǔn)備方案提供商提供此類支持。并從中汲取經(jīng)驗(yàn)如上所述,為了確定某些框架是否可以在DevSecOps方法和自動(dòng)化安全之外推動(dòng)一流的安全性,我們發(fā)掘出各企業(yè)在疫情期間推動(dòng)云環(huán)境和云安全時(shí)采用的模式。疫情期間提供了自然實(shí)驗(yàn),我們能夠?qū)Ρ炔煌姆椒ú⒘私膺@些方法對(duì)大幅精簡(jiǎn)時(shí)間線的影響。這種集中遷移到云端的操作無需等待數(shù)年,而是在短短幾個(gè)月內(nèi)就迅速產(chǎn)生了我們利用數(shù)據(jù)根據(jù)企業(yè)行為和云安全方法發(fā)現(xiàn)了三個(gè)具有代表性的群體。請(qǐng)注意,無論地理獨(dú)特見解。第一個(gè)群體是采用有限企業(yè),包括在疫情前和疫情期間不太關(guān)注云采用的企業(yè)。第二個(gè)群體是擴(kuò)張迅速企業(yè),包括在疫情前云足跡較少但在疫情期間快速、廣泛采用云的企業(yè)。最后,擴(kuò)張的企業(yè)。使用這些數(shù)據(jù)與同行進(jìn)行基準(zhǔn)測(cè)試、驗(yàn)證經(jīng)驗(yàn)并了解差異。借助此分析,您還可以確定最符“這使我們能夠跳出企業(yè)身份,根據(jù)企業(yè)應(yīng)對(duì)云和云安全計(jì)劃的方法對(duì)云成功因素和失敗路徑獲取獨(dú)特見解?!?022年云原生安全現(xiàn)狀報(bào)告133939%62%采用有限的企業(yè):占總數(shù)的39%更可能擁有低收入疫情爆發(fā)之前:云足跡較小疫情爆發(fā)期間:云擴(kuò)張穩(wěn)定戰(zhàn)術(shù)價(jià)值驅(qū)動(dòng)發(fā)展云投資和優(yōu)先級(jí)較低利用無服務(wù)器架構(gòu)規(guī)劃:云使用總量的目標(biāo)較平均(62%)333%62%擴(kuò)張迅速的企業(yè):占總數(shù)的33%更可能擁有高收入疫情爆發(fā)之前:云足跡較小疫情爆發(fā)期間:云擴(kuò)張迅速戰(zhàn)略和戰(zhàn)術(shù)價(jià)值驅(qū)動(dòng)發(fā)展平均云投資和優(yōu)先級(jí)當(dāng)前:利用PaaS架構(gòu)規(guī)劃:云使用總量的目標(biāo)校平均(62%)884%28%成熟用戶:占總數(shù)的28%大多為大型企業(yè)(按收入)疫情爆發(fā)之前:云足跡較大疫情爆發(fā)期間:云擴(kuò)張穩(wěn)定戰(zhàn)術(shù)價(jià)值驅(qū)動(dòng)發(fā)展云投資和優(yōu)先級(jí)較高均衡使用計(jì)算環(huán)境規(guī)劃:云使用總量的目標(biāo)較高(84%)云采用群體的特征常是一致的。采用有限的企業(yè)擴(kuò)張迅速的企業(yè)成熟用戶采用有限的企業(yè)擴(kuò)張迅速的企業(yè)成熟用戶消費(fèi)者生命科學(xué)和醫(yī)療保健金融服務(wù)1,000萬美元以下能源、資源和行業(yè)1,000萬金融服務(wù)1,000萬美元以下能源、資源和行業(yè)5億-10億美元科技、媒體和電信105億-10億美元科技、媒體和電信圖20:按行業(yè)劃分的云采用群體(左);按收入劃分的云采用群體(右)1億-5億美元超過50億美元采用有限企業(yè)在疫情之初云足跡較少,并且在接下來的12個(gè)月內(nèi)增長幅度最小。擴(kuò)張迅速企業(yè)在疫情之初的云足相比之下,成熟用戶擁有大量現(xiàn)有云足跡,但與采用有限企業(yè)類似,計(jì)劃當(dāng)被問及未來計(jì)劃時(shí),疫情前足跡較小的兩個(gè)群體(采用有限企業(yè)和擴(kuò)張迅速企業(yè))預(yù)計(jì)在未來兩年內(nèi)將有62%的工作負(fù)載遷移到云端。相比之下,成熟用戶預(yù)計(jì)將繼續(xù)大量使用云,在未來兩年內(nèi)將有平均84%的工作負(fù)載遷2022年云原生安全現(xiàn)狀報(bào)告144%4%2%49%35%14%26%59%33%84%4%4%2%49%35%14%26%59%33%84%61%13%74%20202021當(dāng)前總額2022年的目標(biāo)采采用有限的企業(yè)62%擴(kuò)擴(kuò)張迅速的企業(yè)62%成熟用戶成熟用戶云工作負(fù)載比例在所有群體中,云支出差異很大。只有42%的采用有限企業(yè)在云方面的支出超過1000萬美元,相比之下,擴(kuò)張迅速企業(yè)的這一比例為69%,成熟用戶為70%。成熟用戶的云預(yù)算也最高,有10%的成熟用戶的云支出超過1億美元,而采用有限企業(yè)和擴(kuò)張迅速企業(yè)的這一比例分別只有2%和1%。2%13%27%39%15%15%1%24%44%25%10%33%27%26%4%采用有限的企業(yè)擴(kuò)張迅速的企業(yè)成熟用戶不知道/無支出1,000萬-5,000萬美元100萬美元以下5,000萬-1億美元100萬-1,000萬美元1億美元以上圖22:采用群體的云總體支出2022年云原生安全現(xiàn)狀報(bào)告15境我們還發(fā)現(xiàn)了云架構(gòu)方法的差異。成熟用戶更有可能使用混合計(jì)算環(huán)境,包括虛擬機(jī)(VM)、容器/CaaS、PaaS和無服務(wù)器,其中65%的企業(yè)均衡使用這四種環(huán)境。擴(kuò)張迅速企業(yè)也采用一種基本平衡的方法(48%),但該群體對(duì)于PaaS的使用是成熟用戶的兩倍(分別為28%和14%)。此決策可跳過基礎(chǔ)架構(gòu)管理,可能為擴(kuò)張迅速企業(yè)根據(jù)我們的分析,云足跡較少且增長計(jì)劃較慢的采用有限企業(yè)可能不是“云優(yōu)先”企業(yè);相反,他們的云計(jì)算工作旨在支持其他企業(yè)策略。該群體的計(jì)算決策(其中47%主要使用無服務(wù)器,32%使用平衡堆棧)可能反映了這一礎(chǔ)架構(gòu)。10%32%11%47%的企業(yè)28%48%10%14%企業(yè)14%65%9%12%無服務(wù)器側(cè)重于VM平衡側(cè)重于PaaS圖23:按采用群體計(jì)算架構(gòu)組合果調(diào)查這些群體的云目標(biāo)后,我們發(fā)現(xiàn)了一個(gè)讓人意想不到的模式。擴(kuò)張迅速企業(yè)群體分為兩個(gè)不同的子群體。大多數(shù)擴(kuò)張迅速企業(yè)(74%)紛紛成功擴(kuò)大其云足跡,在過去一年將35%的工作負(fù)載轉(zhuǎn)移到云端,并計(jì)劃在未來兩年內(nèi)再轉(zhuǎn)移12%的工作負(fù)載。相比之下,另外26%的擴(kuò)張迅速企業(yè)在疫情期間將28%的工作負(fù)載轉(zhuǎn)移到了云端,但令人驚訝的是,他們計(jì)劃在未來兩年內(nèi)將云工作負(fù)載減少26%,這表明他們計(jì)劃將工作負(fù)載移出云端,或不擴(kuò)張迅速企業(yè)群體的這種分歧引發(fā)了新的問題:是什么導(dǎo)致了如此巨大的分歧?我們可以從這些企業(yè)的經(jīng)驗(yàn)中汲取什么經(jīng)驗(yàn)?我們?nèi)?020202120202021采用有限的企業(yè)35%14%+13%擴(kuò)張迅速的企業(yè)采用遇阻34%28%-26%擴(kuò)張迅速的企業(yè)采用成功24%35%+12%擴(kuò)張迅速的企業(yè)61%13%+10%圖24:2020–2021年云工作負(fù)載增長情況和2022–2023年預(yù)期情況2022年云原生安全現(xiàn)狀報(bào)告164%44%34%17%1%隨著我們深入調(diào)查,發(fā)現(xiàn)在云采用工作中取得成功以及經(jīng)歷了重要挑戰(zhàn)的擴(kuò)張迅速企業(yè)可以解釋這種分歧。與更成4%44%34%17%1%功的同行相比,在云采用過程中遭遇挑戰(zhàn)的擴(kuò)張迅速企業(yè)在云方面的投資要高得多,2o21年,有45%的公司在云方面的支出超過5ooo萬美元,相比之下,如今只有13%的擴(kuò)張迅速企業(yè)繼續(xù)保持其發(fā)展軌跡。這表明一些擴(kuò)2%13%27%39%15%15%采用有限的企業(yè)1%2%2%2%擴(kuò)張迅速的企業(yè)采用遇阻1%11%51%30%6%擴(kuò)張迅速的企業(yè)采用成功10%33%27%26% 4%成熟用戶不知道/無支出100萬美元以下100萬-1,000萬美元1,000萬-5,000萬美元5,000萬-1億美元1億美元以上圖25:采用群體的支出水平我們還發(fā)現(xiàn)這些群體的云目標(biāo)存在顯著差異。對(duì)于所有群體而言,應(yīng)用現(xiàn)代化和保持競(jìng)爭(zhēng)力等短期目標(biāo)是云擴(kuò)張的主要驅(qū)動(dòng)因素,而更具戰(zhàn)略性的思維則處于次要地位。但是,他們?cè)谄髽I(yè)一致性方面存在很大差異,成功的擴(kuò)張迅倍多。采用有限的企業(yè)擴(kuò)張迅速的企業(yè)采用遇阻擴(kuò)張迅速的企業(yè)采用成功成熟用戶應(yīng)用現(xiàn)代化保持市場(chǎng)競(jìng)爭(zhēng)力降低基礎(chǔ)架構(gòu)開銷參與更廣泛的數(shù)字化轉(zhuǎn)型工作合規(guī)性提高開發(fā)人員的敏捷性誕生于云/始終在云端158%49%39%29%40%37%11%64%57%52%40%35%46%23%77%75%75%73%58%51%16%52%38%46%25%32%29%20%圖26:將工作負(fù)載遷移到云端的原因2022年云原生安全現(xiàn)狀報(bào)告1716%60%23%7%16%40%37%35%20%27%18%16%60%23%7%16%40%37%35%20%27%18%觀點(diǎn),即成功的云采用必須成為更廣泛的戰(zhàn)略企業(yè)轉(zhuǎn)型的一部分,因?yàn)樵茖⒂绊憳I(yè)務(wù)的許多領(lǐng)域,并且擴(kuò)展業(yè)務(wù)規(guī)模必須準(zhǔn)備好支持這些變化。雖然調(diào)查中途退出的擴(kuò)張迅速企業(yè)僅占所有參與調(diào)查的企業(yè)的8%,但他們也強(qiáng)調(diào)了采用有限的企業(yè)擴(kuò)張迅速的企業(yè)采用遇阻擴(kuò)張迅速的企業(yè)采用成功維護(hù)全面安全性技術(shù)復(fù)雜性滿足合規(guī)性要求重構(gòu)傳統(tǒng)應(yīng)用缺乏對(duì)服務(wù)和提供商的了解缺乏人才和/或咨詢服務(wù)缺少預(yù)算沒有明確的云遷移策略54%43% 46% 36%1 25%24%12% 12%54%34%35%34%33%33%38%21%51%60%51%39%49%43%35%30%圖27:云采用計(jì)劃的主要挑戰(zhàn)同的方法與安全供應(yīng)商合作,在取得成功的企業(yè)中,有83%的企業(yè)使用了五個(gè)1%成熟用戶43%39%33%31%30%27%19%15%19%30%40%11%采用有限的企業(yè)擴(kuò)張迅速的企業(yè)采用遇阻擴(kuò)張迅速的企業(yè)采用成功成熟用戶1-2個(gè)供應(yīng)商3-5個(gè)供應(yīng)商6-10個(gè)供應(yīng)商圖28:使用的獨(dú)立安全供應(yīng)商數(shù)量2022年云原生安全現(xiàn)狀報(bào)告18接下來,我們調(diào)查安全團(tuán)隊(duì)時(shí)發(fā)現(xiàn),成功的擴(kuò)張迅速企業(yè)往往擁有相對(duì)較小的團(tuán)隊(duì)以及較小的供應(yīng)商網(wǎng)絡(luò),但安全工具更多(再次強(qiáng)調(diào),安全工具被定義為網(wǎng)絡(luò)安全公司提供的能力和/或功能的數(shù)量)。另一方面,經(jīng)歷過挑戰(zhàn)的。16%41%24%19%采用有限的企業(yè)20%27%28%25%擴(kuò)張迅速的企業(yè)采用遇阻6%6%2323%36%35%擴(kuò)張迅速的企業(yè)采用成功16%56%22%6%成熟用戶少于20人21–3031–5051+圖29:云安全團(tuán)隊(duì)的規(guī)模研究表明,所有群體都在使用大量安全工具,其中超過一半的群體使用超過五種工具。這表明,既定環(huán)境所需的最佳安全工具數(shù)量可能存在一個(gè)變量方程,其中較大的云環(huán)境必然需要更多工具,或者不同的團(tuán)隊(duì)傾向于使用不同的而導(dǎo)致缺少安全信息和控制所致。28%25%38%9%采用有限的企業(yè)26%37%29%8%擴(kuò)張迅速的企業(yè)采用遇阻13%62%20%20%5%5%擴(kuò)張迅速的企業(yè)采用成功40%26%24%10%成熟用戶1-2個(gè)工具3-5個(gè)工具6-10個(gè)工具圖30:使用的工具數(shù)量(不考慮供應(yīng)商)如果存在這樣的變量方程,數(shù)據(jù)表明安全工具的集成也是一個(gè)關(guān)鍵因素。利用少于五種安全態(tài)勢(shì),但團(tuán)隊(duì)之間的摩擦不受工具數(shù)量的影響。相反,您可以通過DevSecOps方法集成您的安全工具,獲得更廣泛的可視性和全面控制,。“您可以通過DevSecOps方法集成您的安全工具,獲得更廣泛的可視性和全面控制,從而收獲更好的成果?!?022年云原生安全現(xiàn)狀報(bào)告1937%44%30%52%37%44%30%52%低安全摩擦百分比強(qiáng)大/非常強(qiáng)大的安全態(tài)勢(shì)百分比60%60%55%57%55%49%4049%20%18%0%1-2個(gè)工具3-5個(gè)工具6-10個(gè)工具11-20個(gè)工具21個(gè)以上工具數(shù)量和安全成果情況在上文中,我們討論了DevSecOps集成和安全自動(dòng)化作為實(shí)現(xiàn)最佳云安全的關(guān)鍵要素的重要性。我們的群體表明,63%成功擴(kuò)張其云采用的擴(kuò)張迅速企業(yè)還集成了DevSecOps原則。即使與成熟用戶相比,這一數(shù)字也要高明成功的擴(kuò)張迅速企業(yè)在擴(kuò)展云功能時(shí)特別注意在整個(gè)開發(fā)生命周期中集成安全性。14%44%42%采用有限的企業(yè)15%36%49%擴(kuò)張迅速的企業(yè)采用遇阻63%24%13%擴(kuò)張迅速的企業(yè)采用成功35%32%33%成熟用戶低DevSecOps中DevSecOps高DevSecOps圖32:在應(yīng)用生命周期中集成DevSecOps的程度2022年云原生安全現(xiàn)狀報(bào)告20同樣,大量使用云的群體(成熟用戶和成功的擴(kuò)張迅速企業(yè))也傾向于自動(dòng)化,這兩類群體中分別有44%和40%的企業(yè)呈現(xiàn)高度自動(dòng)化。另一方面,在云擴(kuò)張方面遭遇困境的擴(kuò)張迅速企業(yè)則處于落后狀態(tài),其中4o%的化程度較低。14%66%20%采用有限的企業(yè)12%48%40%擴(kuò)張迅速的企業(yè)采用遇阻44%39%17%擴(kuò)張迅速的企業(yè)采用成功40%3636%24%成熟用戶低自動(dòng)化動(dòng)化圖33:整個(gè)開發(fā)生命周期的安全自動(dòng)化水平最終,我們發(fā)現(xiàn)取得成功的擴(kuò)張迅速企業(yè)擁有最強(qiáng)大的安全態(tài)勢(shì),其中81%的企業(yè)的安全態(tài)勢(shì)為強(qiáng)大或非常強(qiáng)大。成熟用戶以50%的比例排在第二位,而69%處于困境中的擴(kuò)張迅速企業(yè)表現(xiàn)的安全態(tài)勢(shì)薄弱或非常薄弱。采用有限企業(yè)的安全態(tài)勢(shì)也較薄弱,但如前所述,該群體仍然致力于少量使用云,他們可能會(huì)以不同的方式衡量云2%19%54%25%采用有限的企業(yè) 5%26%35%34%擴(kuò)張迅速的企業(yè)采用遇阻9%72%10%9%擴(kuò)張迅速的企業(yè)采用成功8%42%25%25%成熟用戶非常薄弱弱大非常強(qiáng)大圖34:所有云采用群體的安全態(tài)勢(shì)水平2022年云原生安全現(xiàn)狀報(bào)告5%8%42%45%此處有更多跡象表明,企業(yè)一致性對(duì)于成功的云轉(zhuǎn)型至關(guān)重要,在安全態(tài)勢(shì)中遇到困難的群體也會(huì)在安全摩擦方面5%8%42%45%陷入困境。半數(shù)苦苦掙扎的擴(kuò)張迅速企業(yè)存在高安全摩擦,而成功的擴(kuò)張迅速企業(yè)和成熟用戶中該比例只有13%和14%。33%33%34%采用有限的企業(yè)50%37%37%49%13%擴(kuò)張迅速的企業(yè)采用遇阻13%20%67%擴(kuò)張迅速的企業(yè)采用成功14%24%62%成熟用戶低摩擦圖35:所有云采用群體的企業(yè)摩擦數(shù)量雖然這些企業(yè)使用了一系列安全提供商,但經(jīng)歷過挑戰(zhàn)的擴(kuò)張迅速企業(yè)傾向于利用更多開源安全提供商。相比之的企業(yè)專注于CSP或第三方驅(qū)動(dòng)的安C

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論