5月初，安全公司Snyk發(fā)布調(diào)查報告稱，近60%的公司擔憂云原生技術遷移導致的安全問題，比不怎么擔憂的公司數(shù)量高出4倍。Snyk在其《云原生應用安全狀態(tài)》報告中指出，這些公司的顧慮可能源自切身體驗：超過56%的公司表示遭遇過錯誤配置或未修復漏洞導致的安全事件。

[[399824]]

Snyk創(chuàng)始人兼總裁Guy Podjarny表示，這兩類事件并不意味著這些公司在遷移到云端后放松了安全，他們確實在檢測，而且大多數(shù)情況下還快速緩解了更多安全問題。

“由于環(huán)境更加復雜混亂，安全事件也更多了，但這些公司正確認識到這些是需要關注的領域，所以他們的擔憂與實際威脅十分吻合。這更多的是我所謂的安全衛(wèi)生，在乎鎖閉門戶。”

新冠肺炎疫情下擴展遠程可訪問基礎設施的必要性促使公司加快推進數(shù)字化轉(zhuǎn)型，上一年里，很多公司從早期計劃階段一躍發(fā)展到推出了云基礎設施。

不同于使用可遠程訪問的內(nèi)部應用和系統(tǒng)，這些公司直接邁向了云原生應用和基礎設施。云原生技術采用容器、微服務和API等基于云的基礎設施提升業(yè)務可擴展性和敏捷性，是數(shù)據(jù)和轉(zhuǎn)型的關鍵。

Snyk報告表明，相對于尚未將很多業(yè)務和開發(fā)過程搬上云端的公司，云采用率高的公司更容易遭遇特定類型的安全事件。高云采用率公司較易遭遇的安全事件類型包括：

• 錯誤配置(50%)、已知未修復漏洞(45%)、審計失敗(21%)和秘密泄露(18%);
• 而低云采用率公司則更傾向于碰到惡意軟件(14%)或者壓根兒沒檢測到任何安全事件(21%)。

Snyk在報告中表示：“云原生技術的采用無疑會改變公司全部應用的安全狀態(tài)。盡管核心安全原則保持不變，，但與所有新興生態(tài)一樣，最佳實踐尚未確定，團隊在探索陌生環(huán)境的過程中引發(fā)了新的安全顧慮。”

與企業(yè)一道，攻擊者也看上了云技術。云應用服務提供商Netskope最近的一份報告指出，2021年第一季度，來自存儲、云電子郵件服務和軟件下載服務等云應用的惡意軟件增加了近三分之一，占當季所有惡意軟件下載的62%。與上年同期相比，這一惡意軟件下載量飆升了48%。

通過Web下載的大多數(shù)惡意軟件都是可執(zhí)行文件，但從云應用下載的惡意軟件就五花八門了，其中可執(zhí)行文件和歸檔文件各占總數(shù)的四分之一左右，Office文檔占據(jù)近16%。

Netskope的報告聲稱：“云應用成為網(wǎng)絡罪犯投放惡意軟件的流行渠道，是云應用全面鋪開的結(jié)果：受害者走到哪兒，網(wǎng)絡罪犯就跟到哪兒。”

Snyk并未下結(jié)論說采用云原生技術越多就越不安全，而是說采用云原生技術多的公司更能感知到安全事件，因為他們擁有更好的可見性。盡管所有公司中僅三分之一實現(xiàn)了完全自動化的開發(fā)流水線，但42%的云原生公司已經(jīng)邁向了全面自動化。

Podjarny表示：“報告中的數(shù)據(jù)表明，云采用率高的團隊確實自動化程度更高，也更容易在短得多的時間里找到并修復關鍵問題。他們的擔憂圍繞的是賦予員工權力和與獨立團隊合作的新現(xiàn)實，他們擔心這樣出錯的概率會更高，但響應速度仍然快得多。”

Podjarny稱，一個有趣的發(fā)現(xiàn)是，開發(fā)人員更愿意承擔安全責任，而安全團隊則準備放棄這些責任。36%的開發(fā)人員聲稱為安全負責，而僅13%的人將安全責任歸到IT安全團隊身上。然而，安全崗位上的受訪者中僅10%將安全交托給開發(fā)人員，31%的人還是將責任分給安全團隊。

該調(diào)查的兩類受訪對象中，大部分(31%的開發(fā)人員和33%的安全人員)認為安全是DevOps或DevSecOps團隊的責任。

Podjarny稱，這更關乎誰準備好解決這些問題。

“總有懷疑論者認為開發(fā)人員不關心安全，但數(shù)據(jù)顯示開發(fā)人員更愿意承擔安全責任。公司擁有掃描技術，但開發(fā)人員需要成為運行這些技術的人，而安全團隊需要放手。”