日前,安全服务提供商McAfee公司对多个国家、行业和组织规模的1400名IT专业人员进行了调查,并得出结论认为,缺乏足够的可见性和控制是组织中采用云计算的最大挑战。但是,云计算的商业价值是如此引人注目,以至于一些组织正在为此努力前行。
云服务几乎无处不在
根据调查结果显示,全球97%的IT专业人士正在使用某种类型的云服务。
公共云和私有云的结合是最流行的架构,59%的受访者表示他们正在使用混合模式。虽然所有组织规模的私有云使用情况相似,但混合使用情况随着组织规模的增长而稳步增长。
大多数(83%)组织将部分或全部敏感数据存储在公共云中。存储的数据类型涉及各种敏感和机密信息:
- 个人客户信息(61%)
- 内部文件、支付卡信息、个人员工数据或政府组织识别数据(约40%)
- 知识产权、医疗记录、竞争情报和网络通行证(约30%)。
云优先是一项IT策略,指出新项目应首先考虑使用云计算技术,而不是本地服务器或软件。调查报告表明,云优先是许多公司对IT的战略,并且仍然是主要目标。由于采用云优先战略的组织数量从今年的82%下降到今年的65%,因此越来越多的企业对此采取谨慎的态度。尽管如此,采用云优先战略的受访者仍然认为公共云比私有云更安全。他们了解风险,但他们知道的越多,IT专业人士就越自信,云优先是他们想要的课程。
安全事件和技能短缺
根据调查,使用IaaS、PaaS或SaaS服务的四分之一组织的数据被窃取,五分之一的企业遭受了针对其公共云基础设施的高级攻击。
随着欧盟的一般数据保护条例(GDPR)将在2018年5月实施,组织将加强合规工作。对云计算提供商能力更有信心的组织更有可能计划在未来一年增加其整体云投资,而那些不那么自信的人则计划将他们的投资保持在目前的水平。平均来看,只有不到10%的受访者预计由于GDPR法规的实施将会减少他们的云计算投资。
恶意软件仍然是各类组织的关注点,56%接受调查的专业人士表示他们已将恶意软件感染追踪到云计算应用程序。当询问恶意软件是如何提供给组织的时候,25%的受访者表示,他们的云计算恶意软件感染是由网络钓鱼引起的,紧随其后的是来自发件人的电子邮件、恶意软件的下载和驱动下载。
网络安全技能的短缺及其对云采用的影响持续减少,表示技术短缺的人士从15%增加到24%。那些仍在表示技能短缺的人中,仅有40%的人因为采用云计算而减少了收入,而去年则为49%。那些表示技能严重短缺的人的云采用率最高。
最佳实践和建议
根据调查结果,所有组织应该积极努力的有三个最佳实践:
- DevOps和DevSecOps已被证明可以提高代码质量,并减少漏洞。在业务部门或应用程序团队中集成开发、质量保证和安全流程对于以当今商业环境需求的速度运行至关重要。
- 即使是最有经验的安全专业人员也很难跟上云计算部署的规模和速度。利用机器优势(例如Chef、Puppet或Ansible等工具中的增强功能)增强人力优势的自动化是现代IT运营的基本组成部分,它与云应用并无二致。
- 多种管理工具使事情变得过于容易。跨多个云的统一管理平台具有开放的集成结构,降低了成本和复杂性,并增加了安全性。