5月初,安全公司Snyk发布调查报告称,近60%的公司担忧云原生技术迁移导致的安全问题,比不怎么担忧的公司数量高出4倍。Snyk在其《云原生应用安全状态》报告中指出,这些公司的顾虑可能源自切身体验:超过56%的公司表示遭遇过错误配置或未修复漏洞导致的安全事件。
Snyk创始人兼总裁Guy Podjarny表示,这两类事件并不意味着这些公司在迁移到云端后放松了安全,他们确实在检测,而且大多数情况下还快速缓解了更多安全问题。
“由于环境更加复杂混乱,安全事件也更多了,但这些公司正确认识到这些是需要关注的领域,所以他们的担忧与实际威胁十分吻合。这更多的是我所谓的安全卫生,在乎锁闭门户。”
新冠肺炎疫情下扩展远程可访问基础设施的必要性促使公司加快推进数字化转型,上一年里,很多公司从早期计划阶段一跃发展到推出了云基础设施。
不同于使用可远程访问的内部应用和系统,这些公司直接迈向了云原生应用和基础设施。云原生技术采用容器、微服务和API等基于云的基础设施提升业务可扩展性和敏捷性,是数据和转型的关键。
Snyk报告表明,相对于尚未将很多业务和开发过程搬上云端的公司,云采用率高的公司更容易遭遇特定类型的安全事件。高云采用率公司较易遭遇的安全事件类型包括:
- 错误配置(50%)、已知未修复漏洞(45%)、审计失败(21%)和秘密泄露(18%);
- 而低云采用率公司则更倾向于碰到恶意软件(14%)或者压根儿没检测到任何安全事件(21%)。
Snyk在报告中表示:“云原生技术的采用无疑会改变公司全部应用的安全状态。尽管核心安全原则保持不变,,但与所有新兴生态一样,最佳实践尚未确定,团队在探索陌生环境的过程中引发了新的安全顾虑。”
与企业一道,攻击者也看上了云技术。云应用服务提供商Netskope最近的一份报告指出,2021年第一季度,来自存储、云电子邮件服务和软件下载服务等云应用的恶意软件增加了近三分之一,占当季所有恶意软件下载的62%。与上年同期相比,这一恶意软件下载量飙升了48%。
通过Web下载的大多数恶意软件都是可执行文件,但从云应用下载的恶意软件就五花八门了,其中可执行文件和归档文件各占总数的四分之一左右,Office文档占据近16%。
Netskope的报告声称:“云应用成为网络罪犯投放恶意软件的流行渠道,是云应用全面铺开的结果:受害者走到哪儿,网络罪犯就跟到哪儿。”
Snyk并未下结论说采用云原生技术越多就越不安全,而是说采用云原生技术多的公司更能感知到安全事件,因为他们拥有更好的可见性。尽管所有公司中仅三分之一实现了完全自动化的开发流水线,但42%的云原生公司已经迈向了全面自动化。
Podjarny表示:“报告中的数据表明,云采用率高的团队确实自动化程度更高,也更容易在短得多的时间里找到并修复关键问题。他们的担忧围绕的是赋予员工权力和与独立团队合作的新现实,他们担心这样出错的概率会更高,但响应速度仍然快得多。”
Podjarny称,一个有趣的发现是,开发人员更愿意承担安全责任,而安全团队则准备放弃这些责任。36%的开发人员声称为安全负责,而仅13%的人将安全责任归到IT安全团队身上。然而,安全岗位上的受访者中仅10%将安全交托给开发人员,31%的人还是将责任分给安全团队。
该调查的两类受访对象中,大部分(31%的开发人员和33%的安全人员)认为安全是DevOps或DevSecOps团队的责任。
Podjarny称,这更关乎谁准备好解决这些问题。
“总有怀疑论者认为开发人员不关心安全,但数据显示开发人员更愿意承担安全责任。公司拥有扫描技术,但开发人员需要成为运行这些技术的人,而安全团队需要放手。”