5月初，安全公司Snyk發(fā)布調(diào)查報告稱，近60%的公司擔(dān)憂云原生技術(shù)遷移導(dǎo)致的安全問題，比不怎么擔(dān)憂的公司數(shù)量高出4倍。Snyk在其《云原生應(yīng)用安全狀態(tài)》報告中指出，這些公司的顧慮可能源自切身體驗(yàn)：超過56%的公司表示遭遇過錯誤配置或未修復(fù)漏洞導(dǎo)致的安全事件。

[[399824]]

Snyk創(chuàng)始人兼總裁Guy Podjarny表示，這兩類事件并不意味著這些公司在遷移到云端后放松了安全，他們確實(shí)在檢測，而且大多數(shù)情況下還快速緩解了更多安全問題。

“由于環(huán)境更加復(fù)雜混亂，安全事件也更多了，但這些公司正確認(rèn)識到這些是需要關(guān)注的領(lǐng)域，所以他們的擔(dān)憂與實(shí)際威脅十分吻合。這更多的是我所謂的安全衛(wèi)生，在乎鎖閉門戶。”

新冠肺炎疫情下擴(kuò)展遠(yuǎn)程可訪問基礎(chǔ)設(shè)施的必要性促使公司加快推進(jìn)數(shù)字化轉(zhuǎn)型，上一年里，很多公司從早期計劃階段一躍發(fā)展到推出了云基礎(chǔ)設(shè)施。

不同于使用可遠(yuǎn)程訪問的內(nèi)部應(yīng)用和系統(tǒng)，這些公司直接邁向了云原生應(yīng)用和基礎(chǔ)設(shè)施。云原生技術(shù)采用容器、微服務(wù)和API等基于云的基礎(chǔ)設(shè)施提升業(yè)務(wù)可擴(kuò)展性和敏捷性，是數(shù)據(jù)和轉(zhuǎn)型的關(guān)鍵。

Snyk報告表明，相對于尚未將很多業(yè)務(wù)和開發(fā)過程搬上云端的公司，云采用率高的公司更容易遭遇特定類型的安全事件。高云采用率公司較易遭遇的安全事件類型包括：

• 錯誤配置(50%)、已知未修復(fù)漏洞(45%)、審計失敗(21%)和秘密泄露(18%);
• 而低云采用率公司則更傾向于碰到惡意軟件(14%)或者壓根兒沒檢測到任何安全事件(21%)。

Snyk在報告中表示：“云原生技術(shù)的采用無疑會改變公司全部應(yīng)用的安全狀態(tài)。盡管核心安全原則保持不變，，但與所有新興生態(tài)一樣，最佳實(shí)踐尚未確定，團(tuán)隊(duì)在探索陌生環(huán)境的過程中引發(fā)了新的安全顧慮。”

與企業(yè)一道，攻擊者也看上了云技術(shù)。云應(yīng)用服務(wù)提供商N(yùn)etskope最近的一份報告指出，2021年第一季度，來自存儲、云電子郵件服務(wù)和軟件下載服務(wù)等云應(yīng)用的惡意軟件增加了近三分之一，占當(dāng)季所有惡意軟件下載的62%。與上年同期相比，這一惡意軟件下載量飆升了48%。

通過Web下載的大多數(shù)惡意軟件都是可執(zhí)行文件，但從云應(yīng)用下載的惡意軟件就五花八門了，其中可執(zhí)行文件和歸檔文件各占總數(shù)的四分之一左右，Office文檔占據(jù)近16%。

Netskope的報告聲稱：“云應(yīng)用成為網(wǎng)絡(luò)罪犯投放惡意軟件的流行渠道，是云應(yīng)用全面鋪開的結(jié)果：受害者走到哪兒，網(wǎng)絡(luò)罪犯就跟到哪兒。”

Snyk并未下結(jié)論說采用云原生技術(shù)越多就越不安全，而是說采用云原生技術(shù)多的公司更能感知到安全事件，因?yàn)樗麄儞碛懈玫目梢娦?。盡管所有公司中僅三分之一實(shí)現(xiàn)了完全自動化的開發(fā)流水線，但42%的云原生公司已經(jīng)邁向了全面自動化。

Podjarny表示：“報告中的數(shù)據(jù)表明，云采用率高的團(tuán)隊(duì)確實(shí)自動化程度更高，也更容易在短得多的時間里找到并修復(fù)關(guān)鍵問題。他們的擔(dān)憂圍繞的是賦予員工權(quán)力和與獨(dú)立團(tuán)隊(duì)合作的新現(xiàn)實(shí)，他們擔(dān)心這樣出錯的概率會更高，但響應(yīng)速度仍然快得多。”

Podjarny稱，一個有趣的發(fā)現(xiàn)是，開發(fā)人員更愿意承擔(dān)安全責(zé)任，而安全團(tuán)隊(duì)則準(zhǔn)備放棄這些責(zé)任。36%的開發(fā)人員聲稱為安全負(fù)責(zé)，而僅13%的人將安全責(zé)任歸到IT安全團(tuán)隊(duì)身上。然而，安全崗位上的受訪者中僅10%將安全交托給開發(fā)人員，31%的人還是將責(zé)任分給安全團(tuán)隊(duì)。

該調(diào)查的兩類受訪對象中，大部分(31%的開發(fā)人員和33%的安全人員)認(rèn)為安全是DevOps或DevSecOps團(tuán)隊(duì)的責(zé)任。

Podjarny稱，這更關(guān)乎誰準(zhǔn)備好解決這些問題。

“總有懷疑論者認(rèn)為開發(fā)人員不關(guān)心安全，但數(shù)據(jù)顯示開發(fā)人員更愿意承擔(dān)安全責(zé)任。公司擁有掃描技術(shù)，但開發(fā)人員需要成為運(yùn)行這些技術(shù)的人，而安全團(tuán)隊(duì)需要放手。”