近日，Palo Alto Networks公司發(fā)布了《2023年云原生安全狀況報(bào)告》。報(bào)告數(shù)據(jù)顯示，企業(yè)組織目前平均需要使用30種以上的安全工具來(lái)構(gòu)建云應(yīng)用的整體安全性，其中有1/3的產(chǎn)品專門應(yīng)用于云安全。但這種復(fù)雜性并沒有帶來(lái)可靠的安全性，反而導(dǎo)致日常安全運(yùn)營(yíng)問(wèn)題不斷出現(xiàn)。報(bào)告指出，盡管有超過(guò)60%的受訪企業(yè)已經(jīng)使用了云服務(wù)3年以上時(shí)間，但云安全運(yùn)營(yíng)維護(hù)的復(fù)雜性正在阻礙它們進(jìn)一步將數(shù)字化業(yè)務(wù)系統(tǒng)向云上遷移。

云安全的關(guān)鍵挑戰(zhàn)

在本次報(bào)告研究中，共對(duì)全球2500家企業(yè)的高級(jí)管理者進(jìn)行了調(diào)查，受訪高管們普遍認(rèn)為，他們對(duì)其組織目前的云安全狀況并不滿意，希望能夠進(jìn)一步提高對(duì)多云應(yīng)用的可見性以及對(duì)安全事件的調(diào)查和響應(yīng)能力。

有75%的受訪者表示，企業(yè)目前應(yīng)用了過(guò)多的單點(diǎn)式安全產(chǎn)品，這樣不僅容易造成安全防護(hù)的“盲點(diǎn)”，還影響了他們優(yōu)先考慮風(fēng)險(xiǎn)和預(yù)防云安全威脅的能力。但他們難以確定在這些安全工具中，哪些是必須的，哪些是無(wú)用的。

33%的公司使用多個(gè)廠商安全產(chǎn)品來(lái)保護(hù)云應(yīng)用

報(bào)告研究發(fā)現(xiàn)：只有約10%的受訪企業(yè)表示，能夠在云安全事件發(fā)生后的一小時(shí)內(nèi)發(fā)現(xiàn)、控制和解決威脅；68%的受訪企業(yè)表示，無(wú)法在一小時(shí)內(nèi)檢測(cè)到安全事件的發(fā)生；而在那些能夠做到這一點(diǎn)的企業(yè)中，近70%的企業(yè)無(wú)法在一小時(shí)內(nèi)有效做出響應(yīng)。

42%受訪企業(yè)的平均云安全修復(fù)時(shí)間在增加

通過(guò)調(diào)研分析，報(bào)告研究人員總結(jié)了當(dāng)前企業(yè)在實(shí)現(xiàn)全面云安全性過(guò)程中的主要挑戰(zhàn)：

跨團(tuán)隊(duì)的安全管理

目前企業(yè)通常采用云服務(wù)提供商和自身之間的責(zé)任共擔(dān)模式，但這是不夠的。企業(yè)還需要向內(nèi)看，消除安全團(tuán)隊(duì)和各業(yè)務(wù)部門之間的“孤島”，因?yàn)樗鼈冏璧K了貫穿開發(fā)、運(yùn)營(yíng)和安全全周期的安全防護(hù)流程。

原生化安全能力嵌入 

云計(jì)算應(yīng)用需要體系化的安全防護(hù)能力，因此要在云應(yīng)用程序開發(fā)使用的每個(gè)階段（從代碼研發(fā)到運(yùn)行時(shí)）嵌入合適的云安全解決方案。

云安全工具的正確使用 

由于云保護(hù)需要面對(duì)“跨代碼、工作負(fù)載、身份、數(shù)據(jù)等以及跨多個(gè)執(zhí)行環(huán)境（如容器、無(wú)服務(wù)器和虛擬化平臺(tái)）的指數(shù)級(jí)云資產(chǎn)”，因此在不同階段選擇合適的工具非常關(guān)鍵，而理想的云安全解決方案應(yīng)該是全面的、及時(shí)的、可擴(kuò)展的。

安全漏洞可見性增強(qiáng) 

在本次報(bào)告中，研究人員將云安全漏洞管理稱為“維護(hù)應(yīng)用程序安全的圣杯”。而要實(shí)現(xiàn)這一目標(biāo)，就意味著首先要能夠準(zhǔn)確掌握云的規(guī)模、運(yùn)行速度和靈活性，并在此基礎(chǔ)上通過(guò)近乎實(shí)時(shí)的威脅和漏洞檢測(cè)來(lái)提升云的安全性。

云安全建設(shè)的優(yōu)化建議

報(bào)告調(diào)研發(fā)現(xiàn)，近80%的受訪企業(yè)每周都要在實(shí)際生產(chǎn)環(huán)境中部署新的軟件代碼或進(jìn)行應(yīng)用版本更新，而有近40%的受訪企業(yè)每天都要在云上提交新的應(yīng)用系統(tǒng)代碼。因此，沒有企業(yè)能承擔(dān)忽視云工作負(fù)載安全性的后果。但隨著云應(yīng)用和擴(kuò)展的發(fā)展，企業(yè)組織需要采取更優(yōu)化的云安全防護(hù)方法，實(shí)現(xiàn)跨多云環(huán)境的應(yīng)用系統(tǒng)保護(hù)。

通過(guò)對(duì)調(diào)研數(shù)據(jù)的統(tǒng)計(jì)分析，研究人員總結(jié)了企業(yè)在選擇云安全防護(hù)方案時(shí)，最關(guān)鍵的一些考慮因素：

• 易于使用，便于管理； 
• 具備較先進(jìn)的防護(hù)功能； 
• 是否會(huì)對(duì)企業(yè)現(xiàn)有業(yè)務(wù)流程和工作效率構(gòu)成影響； 
• 較熟悉的方案生產(chǎn)商或服務(wù)商，便于溝通、協(xié)作； 
• 有競(jìng)爭(zhēng)力的價(jià)格和合理的方案建設(shè)成本。

為了改善對(duì)云安全防護(hù)的薄弱態(tài)勢(shì)，安全專家建議企業(yè)組織應(yīng)該積極增強(qiáng)對(duì)云應(yīng)用異?；蚩梢尚袨榈淖R(shí)別能力，提高云資產(chǎn)的可見性，同時(shí)由單點(diǎn)式工具部署轉(zhuǎn)向平臺(tái)化的方案構(gòu)建。具體建議還包括：

將安全能力原生化 

報(bào)告認(rèn)為，企業(yè)應(yīng)該在云應(yīng)用的所有階段配置安全措施。這要求安全團(tuán)隊(duì)全面云中的應(yīng)用系統(tǒng)從開發(fā)到生產(chǎn)再到部署使用的整個(gè)過(guò)程，以便為安全能力找到影響性最小的嵌入點(diǎn)。組織可以從提高云安全漏洞的可見性和管理修復(fù)開始。此外，定期開展云容器安全掃描也是獲得開發(fā)團(tuán)隊(duì)認(rèn)可支持的重要第一步。

采用新一代威脅防護(hù)技術(shù)

部署先進(jìn)的威脅防護(hù)技術(shù)可以更有效地阻止零日攻擊，并在攻擊活動(dòng)真實(shí)發(fā)生時(shí)快速遏制橫向移動(dòng)。此外，企業(yè)應(yīng)該確?！白钚?quán)限訪問(wèn)”策略的有效落實(shí)。Palo Alto安全專家建議，組織應(yīng)該為云上的關(guān)鍵任務(wù)應(yīng)用部署預(yù)防性的安全措施，減少可能出現(xiàn)的安全風(fēng)險(xiǎn)損失。

防止安全工具“蔓延” 

不要在云環(huán)境中為某些特定的安全應(yīng)用使用多個(gè)甚至幾十個(gè)安全工具，這樣就會(huì)導(dǎo)致所謂的工具“蔓延”情況出現(xiàn)，使云安全團(tuán)隊(duì)日常運(yùn)維工作陷入困境，并造成安全可見性的不足。報(bào)告研究人員建議，企業(yè)組織應(yīng)該每?jī)傻轿迥陼r(shí)間，就重新評(píng)估以此云安全策略的合理性與有效性，并重新設(shè)置云安全防護(hù)的目標(biāo)。

實(shí)現(xiàn)安全能力整合 

通過(guò)將數(shù)據(jù)和安全控制能力統(tǒng)一到一個(gè)完整的平臺(tái)，企業(yè)組織可以獲得更全面的云安全風(fēng)險(xiǎn)視圖，而不是由幾個(gè)孤立的工具提供的局部安全性視圖。通過(guò)整合工具，安全團(tuán)隊(duì)還可以自動(dòng)關(guān)聯(lián)并解決云應(yīng)用生命周期中最重要的安全問(wèn)題，優(yōu)化提升防護(hù)資源的分配和效果。

參考鏈接：

??https://www.techrepublic.com/article/cloud-security-tools-trees-problem/??