一项调查表明,基于云计算的业务计划正在加速实施,而企业的安全团队需要以更快的速度跟上云采用的步伐。
根据网络安全管理厂商FireMon公司日前发布的2019年混合云安全状态的调查报告表明,受访的信息安全专业人士中有60%的人表示,企业对云计算的采用超过了其安全团队跟上这些应用安全步伐的能力。
调查结果强调了这样一个事实,即云计算业务计划的速度阻碍了受访者保护和管理混合云环境的能力,但企业的安全人员通常不会参与云计算业务计划。
400名信息安全专业人员参与了这个调查,旨在揭示企业扩展混合云计划时安全性和网络专业人员面临的挑战。大多数受访者位于北美地地区(74%),其次是亚太地区(12.6%)、欧洲、中东和非洲(10.1%),以及拉丁美洲(3.3%)。
调查发现,只有56%的受访者表示网络安全、安全运营或安全合规团队需要对云安全负责。在剩余的44%的案例中,IT和云计算团队、应用程序所有者或安全组织以外的其他团队需要对云安全负责。
同样,安全性与DevOps之间的关系在不同组织之间是不一致的,调查报告称,随着更多的企业在云中部署“即服务”模型,这可能会对云计算的安全控制的一致性产生负面影响。
在某些情况下,DevOps和安全性完全一致,并且可以很好地协同工作,但在其他情况下,这种关系很难维持。近40%的受访者表示他们同时使用基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)模型。
虽然30.7%的受访者表示他们是DevOps团队的一员,但作为新兴DevSecOps趋势的一部分,30%的受访者表示他们与DevOps的关系复杂、有争议、不值得一提或根本不存在。
调查发现,企业通过在内部部署多个系统以及跨多个私有云和公共云部署无意中将复杂性引入其环境。由于缺乏管理和保护混合云环境所需的集成工具和培训,这将变得更加复杂。
受访者还指出,缺乏整合工具,缺乏合格人员或使用工具的培训不足,这是实现跨环境安全管理的主要障碍。
虽然59%的受访者表示他们在自己的环境中使用两种或更多种不同的防火墙,67%的受访者表示,他们也在使用两种或更多公共云平台,但只有28%的受访者表示他们正在使用可跨多种环境工作的工具来管理网络安全。
调查报告称,近36%的受访者表示,他们正在为每个环境或人工流程使用本机工具,这意味着他们正在混合环境的每个组件中以独立的方式管理安全。
超过四分之一的受访者表示,他们保护公共云环境的三大挑战是缺乏可视性、缺乏培训,以及缺乏控制。
调查报告称,向混合云环境的过渡极大地扩展了企业攻击面,从而扩大了必须保护的资产范围,但安全资源并没有以相同的规模扩展。
预算和人员配置是引用的主要资源限制因素,57.5%的受访者表示其安全预算的不到25%用于云安全,52%的受访者表示他们拥有10人或人数更少的安全团队。
Firemon公司技术联盟副总裁Tim Woods说:“我们的调查结果令人信服,但并不令人惊讶。在复杂的大型企业环境中,预算限制、缺乏明确的团队负责云安全,以及缺乏跨混合云环境管理安全的标准,都削弱了组织保护其云业务计划的能力。只有新一代的安全技术和流程能够与DevOps完全集成,并在混合环境中提供端到端的可视性、持续的安全性和合规性,才能解决这个问题。”
Woods表示,该调查清楚地表明,许多公司已不再符合中央安全政策或安全原则,即在其混合环境中提供必要的安全保护。
他说:“在缺乏简明的安全规则手册的情况下,各部门在管理自己的安全控制,他们将尽最大努力做到这一点。但这可能增加风险。如果分散的安全责任是云计算优先战略的未来,那么我们必须寻找一种方法来重新建立一个全球安全管理战略,使业务意图与合规意图、安全意图相一致。安全实施应紧密反映中央安全原则。安全性必须是应用程序部署的一个组成部分,这两者的部署都是同步的。”