根据ESG研究表明,57%的企业使用公共和私有云基础设施来支持产品应用/工作负载,并且,在未来24个月,绝大多数企业会将越来越多的应用/工作负载转移到云基础设施。
现在没有人会否认,云计算代表不同的计算模式,但它其实主要是基于使用服务器虚拟化。并且,由于虚拟机是为了模拟物理服务器,很多企业的云计算安全做法是使用传统安全流程和技术。
在ESG调查中,当网络安全和IT人员被问及其企业是否会使用现有安全技术和流程来处理云基础设施中的工作负载时,绝大多数(92%)表示他们差不多是这样做。
网络安全专业人当然希望利用现有安全投资,并尽可能多地依靠已有的最佳做法。那么,问题在哪里呢?现有的安全技术和流程并不总是能够确保基于云的工作负载的安全。事实上,32%的企业网络安全和IT专业人员承认他们需要放弃很多传统安全政策或技术,因为它们无法有效确保云安全,而另外42%已经弃用了有些传统安全政策或技术。ESG还询问受访者确保云计算安全的有效的传统安全工具,他们的回答如下:
· 46%受访者表示数据安全技术(例如加密、数据丢失防护等)是解决云安全问题的有效传统安全工具,当重要数据转移到云中时,这真的是非常重要的问题。
· 46%受访者表示基于主机的安全技术(例如防病毒、文件完整性监控、HIDS/HIPS等)是有效传统工具。但事实真的是如此吗?
· 44%受访者认为是网络安全技术(例如防火墙、IDS/IPS、网关等),这真的是个问题,因为网络安全在大多数企业的IT安全中占主导地位。
· 42%受访者表示网络应用防火墙(WAF)是有效的传统工具。这是另一个不匹配情况;难怪亚马逊现在会提供WAF即服务。
这些传统安全工具被设计来保护物理资产,企业使用这些工具来保护云安全并不可行。首席安全信息官应该尽可能使用经过验证的最佳做法,但ESG数据表明,他们将需要采用云计算安全技术和流程。
这并不容易,但并没有其他替代方法。ESG数据清楚地表明,使用旧流程和控制来保护新的云基础设施肯定会失败。