[調(diào)查] 云原生業(yè)務(wù)艱難維系安全

作者：nana 2021-05-17 10:40:20

安全

云安全

云原生 5月初，安全公司Snyk發(fā)布調(diào)查報(bào)告稱(chēng)，近60%的公司擔(dān)憂(yōu)云原生技術(shù)遷移導(dǎo)致的安全問(wèn)題，比不怎么擔(dān)憂(yōu)的公司數(shù)量高出4倍。

長(zhǎng)汀ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場(chǎng)景，ssl證書(shū)未來(lái)市場(chǎng)廣闊！成為創(chuàng)新互聯(lián)的ssl證書(shū)銷(xiāo)售渠道，可以享受市場(chǎng)價(jià)格4-6折優(yōu)惠！如果有意向歡迎電話(huà)聯(lián)系或者加微信：18980820575（備注：SSL證書(shū)合作）期待與您的合作！

5月初，安全公司Snyk發(fā)布調(diào)查報(bào)告稱(chēng)，近60%的公司擔(dān)憂(yōu)云原生技術(shù)遷移導(dǎo)致的安全問(wèn)題，比不怎么擔(dān)憂(yōu)的公司數(shù)量高出4倍。Snyk在其《云原生應(yīng)用安全狀態(tài)》報(bào)告中指出，這些公司的顧慮可能源自切身體驗(yàn)：超過(guò)56%的公司表示遭遇過(guò)錯(cuò)誤配置或未修復(fù)漏洞導(dǎo)致的安全事件。

Snyk創(chuàng)始人兼總裁Guy Podjarny表示，這兩類(lèi)事件并不意味著這些公司在遷移到云端后放松了安全，他們確實(shí)在檢測(cè)，而且大多數(shù)情況下還快速緩解了更多安全問(wèn)題。

“由于環(huán)境更加復(fù)雜混亂，安全事件也更多了，但這些公司正確認(rèn)識(shí)到這些是需要關(guān)注的領(lǐng)域，所以他們的擔(dān)憂(yōu)與實(shí)際威脅十分吻合。這更多的是我所謂的安全衛(wèi)生，在乎鎖閉門(mén)戶(hù)?！?/p>

新冠肺炎疫情下擴(kuò)展遠(yuǎn)程可訪(fǎng)問(wèn)基礎(chǔ)設(shè)施的必要性促使公司加快推進(jìn)數(shù)字化轉(zhuǎn)型，上一年里，很多公司從早期計(jì)劃階段一躍發(fā)展到推出了云基礎(chǔ)設(shè)施。

不同于使用可遠(yuǎn)程訪(fǎng)問(wèn)的內(nèi)部應(yīng)用和系統(tǒng)，這些公司直接邁向了云原生應(yīng)用和基礎(chǔ)設(shè)施。云原生技術(shù)采用容器、微服務(wù)和API等基于云的基礎(chǔ)設(shè)施提升業(yè)務(wù)可擴(kuò)展性和敏捷性，是數(shù)據(jù)和轉(zhuǎn)型的關(guān)鍵。

Snyk報(bào)告表明，相對(duì)于尚未將很多業(yè)務(wù)和開(kāi)發(fā)過(guò)程搬上云端的公司，云采用率高的公司更容易遭遇特定類(lèi)型的安全事件。高云采用率公司較易遭遇的安全事件類(lèi)型包括：

• 錯(cuò)誤配置(50%)、已知未修復(fù)漏洞(45%)、審計(jì)失敗(21%)和秘密泄露(18%);
• 而低云采用率公司則更傾向于碰到惡意軟件(14%)或者壓根兒沒(méi)檢測(cè)到任何安全事件(21%)。

Snyk在報(bào)告中表示：“云原生技術(shù)的采用無(wú)疑會(huì)改變公司全部應(yīng)用的安全狀態(tài)。盡管核心安全原則保持不變，，但與所有新興生態(tài)一樣，最佳實(shí)踐尚未確定，團(tuán)隊(duì)在探索陌生環(huán)境的過(guò)程中引發(fā)了新的安全顧慮?！?/p>

與企業(yè)一道，攻擊者也看上了云技術(shù)。云應(yīng)用服務(wù)提供商N(yùn)etskope最近的一份報(bào)告指出，2021年第一季度，來(lái)自存儲(chǔ)、云電子郵件服務(wù)和軟件下載服務(wù)等云應(yīng)用的惡意軟件增加了近三分之一，占當(dāng)季所有惡意軟件下載的62%。與上年同期相比，這一惡意軟件下載量飆升了48%。

通過(guò)Web下載的大多數(shù)惡意軟件都是可執(zhí)行文件，但從云應(yīng)用下載的惡意軟件就五花八門(mén)了，其中可執(zhí)行文件和歸檔文件各占總數(shù)的四分之一左右，Office文檔占據(jù)近16%。

Netskope的報(bào)告聲稱(chēng)：“云應(yīng)用成為網(wǎng)絡(luò)罪犯投放惡意軟件的流行渠道，是云應(yīng)用全面鋪開(kāi)的結(jié)果：受害者走到哪兒，網(wǎng)絡(luò)罪犯就跟到哪兒?！?/p>

Snyk并未下結(jié)論說(shuō)采用云原生技術(shù)越多就越不安全，而是說(shuō)采用云原生技術(shù)多的公司更能感知到安全事件，因?yàn)樗麄儞碛懈玫目梢?jiàn)性。盡管所有公司中僅三分之一實(shí)現(xiàn)了完全自動(dòng)化的開(kāi)發(fā)流水線(xiàn)，但42%的云原生公司已經(jīng)邁向了全面自動(dòng)化。

Podjarny表示：“報(bào)告中的數(shù)據(jù)表明，云采用率高的團(tuán)隊(duì)確實(shí)自動(dòng)化程度更高，也更容易在短得多的時(shí)間里找到并修復(fù)關(guān)鍵問(wèn)題。他們的擔(dān)憂(yōu)圍繞的是賦予員工權(quán)力和與獨(dú)立團(tuán)隊(duì)合作的新現(xiàn)實(shí)，他們擔(dān)心這樣出錯(cuò)的概率會(huì)更高，但響應(yīng)速度仍然快得多?！?/p>

Podjarny稱(chēng)，一個(gè)有趣的發(fā)現(xiàn)是，開(kāi)發(fā)人員更愿意承擔(dān)安全責(zé)任，而安全團(tuán)隊(duì)則準(zhǔn)備放棄這些責(zé)任。36%的開(kāi)發(fā)人員聲稱(chēng)為安全負(fù)責(zé)，而僅13%的人將安全責(zé)任歸到IT安全團(tuán)隊(duì)身上。然而，安全崗位上的受訪(fǎng)者中僅10%將安全交托給開(kāi)發(fā)人員，31%的人還是將責(zé)任分給安全團(tuán)隊(duì)。

該調(diào)查的兩類(lèi)受訪(fǎng)對(duì)象中，大部分(31%的開(kāi)發(fā)人員和33%的安全人員)認(rèn)為安全是DevOps或DevSecOps團(tuán)隊(duì)的責(zé)任。

Podjarny稱(chēng)，這更關(guān)乎誰(shuí)準(zhǔn)備好解決這些問(wèn)題。

“總有懷疑論者認(rèn)為開(kāi)發(fā)人員不關(guān)心安全，但數(shù)據(jù)顯示開(kāi)發(fā)人員更愿意承擔(dān)安全責(zé)任。公司擁有掃描技術(shù)，但開(kāi)發(fā)人員需要成為運(yùn)行這些技術(shù)的人，而安全團(tuán)隊(duì)需要放手。”

網(wǎng)頁(yè)名稱(chēng)：[調(diào)查]云原生業(yè)務(wù)艱難維系安全
標(biāo)題鏈接：http://www.5511xx.com/article/djhodeo.html