2023 云安全报告 Introduction 《2023年云安全报告》强调了随着组织越来越多地采用多云环境,关键的网络安全问题、事件和趋势。尽管云计算成熟度不断提高,但仍有95%的安全专业人员对公共云安全感到担忧,强调迫切需要教育,培训和解决方案,以应对复杂的多云环境和不断变化的威胁。 网络安全专业人员面临的持续挑战是缺乏合格的安全人员 (43%)。由于72%的受访者使用两个或多个云提供商,因此最重要的安全优先事项是防止错误配置,保护云应用程序,并实现法规遵从性由于复杂性和攻击面的增加-乘以网络安全人才缺口,变得越来越具有挑战性。通过网络安全解决人才短缺问题培训和认证成为组织的重要解决方案。 基于云的安全的障碍主要是与人员和流程相关,而不是以技术为中心。缺乏网络安全人员专业知识和培训(53%)仍然是最大的障碍,其次是预算挑战(44%)和数据隐私问题(38%)。 合格的网络安全人才持续短缺也是实现更快的最大障碍云采用率(37%),其次是法律和监管合规问题(30%)以及数据安全和泄漏风险(29%)。 鉴于这些挑战,大多数组织(83%)承认他们的团队需要额外的云安全培训和认证,以更好地在云中运行环境。该报告强调了解决安全问题和投资于网络安全培训和认证,以解决人才短缺问题,并确保安全和强大的云生态系统。 我们要感谢(ISC)2支持这项独特的研究。我们希望您喜欢这份报告。谢谢, HolgerSchulze HolgerSchulze 首席执行官和创始人网络安全内部人士 尽管云技术日益成熟,但95%的安全专业人员仍然对公共云安全表现出中等至极端的担忧。这种持续的趋势凸显了对持续的云安全教育和开发能够适应不断变化的多云环境和威胁环境的解决方案的关键需求。因此,组织应该高度重视云安全,投资于全面的保护策略,并为团队提供持续的培训,以维护安全的云环境。 您对公共云的安全性有多关注? 95% 的组织是中度到极端的 关注云安全 4% 19% 35% 41% 1% 非常关注非常关注适度关注略有关注一点也不关心 您如何描述您组织的云成熟度级别? 早期采用者,实验性中级,可重 23% 复的高级,架构良好 42% 24% 领导者,完全自动化 4% 没有云准备就绪7% 安全事件经常发生:24%的组织在过去的12个月中经历了与公共云相关的安全事件。错误配置是主要原因,其次是帐户泄露和漏洞利用。 Thisfindingsuggeststhatorganizationsshouldprioritizeenhancingtheircloudsecuritymeasuresandimprovingincidentdetectionandreporting.Continuousmonitoringandregularsecurityauditscanhelporganizationsbetterunderstandreducetheriskofcl 您的组织在过去12个月中是否经历过与公共云相关的安全事件? 24% 76% 是否 随着多云复杂性的上升,67%的网络安全专业人员充其量只是对其组织的云安全状况有适度的看法也就不足为奇了。调查结果强调了持续改进云安全策略、持续培训和实施最佳实践的重要性,以提高可信度,并确保在不断变化的威胁面前保持稳健的安全态势。 您对组织的云安全状况有多自信? 67% 网络安全专业人员充其量只是适度的 对其组织的云安全态势充满信心 6% 27% 49% 13% 5% 极其自信一点也不自信 非常自信非常自信适度自信有点自信一点也不自信 云安全专业人员如何看待云与本地环境的风险级别?三分之一的受访者(30%)认为风险级别大致相等,43%的受访者认为云中的风险程度更高。四分之一的受访者(27%)认为公共云泄露的风险较低。 这些发现展示了网络安全专业人员对公共云环境中安全漏洞风险的一系列意见。它强调了理解组织的特定安全要求并实施适当措施以减轻潜在风险的重要性,无论选择的环境如何。 与传统的本地IT环境相比,您会说公共云环境中安全漏洞的风险更高还是更低? 43% 公共云的风险高于本地环境 7% 20% 30% 30% 13% 显著降低显著升高 显着降低稍微低一点关于相同有点高显著较高 公共云应用/SaaS(如Salesforce和Office365)是否更多或不如本地应用程序安全? 41% 24% 35% 公有云应用是更多安全比 本地应用程序 公有云应用是LESS安全比 本地应用程序 关于相同 组织正在迅速将工作负载转移到云中,39%的组织已经将一半以上的工作负载放在云中。此外,58%的受访者计划在未来12-18个月内做出这一转变。值得注意的是,在云中拥有超过50%工作负载的组织将经历重大变化。在未来12-18个月内,云工作负载占 51%至75%的组织将从20%增加到27%,云工作负载占75%以上的组织预计将从19%增加到31%。 这些发现表明人们越来越认识到云计算的好处,导致组织计划进一步将工作负载迁移到云。随着云采用的不断扩大,企业不断增强其云安全措施和策略至关重要。这确保了对工作负载的保护并建立了强大的安全态势。 目前,您的工作负载在云中的百分比是多少 ? 在未来12-18个月内,您的工作负载将在云中的百分比是多少? 今日接下来的12-18个月 36% 25% 高达25% 26%-50% 17% 25% 39% 正在运行 超过 50%的工作负载 在云中 20% 19% 51%-75% +75% 27% 31% 58% 将运行超过 50%的工作负载在云中 云中工作负载的份额 结果反映了多云战略的趋势,这些战略提供了更高的灵活性、冗余和利用不同提供商优势的能力。然而,这种多云方法也带来了与多个云提供商一起管理和保护复杂环境的挑战。 72%的受访者使用两个或两个以上的云提供商,最重要的安全优先事项(例如防止错误配置、保护云应用程序和达到法规遵从性)随着复杂性和攻击面的增加而成倍增加。 您的组织当前使用了多少个云提供商? One 28% 两个 34% Three 19% 三个以上 19% 72% 在 两个或多个云提供商 云使用 是什么阻碍了组织增加对云的投资?持续缺乏具备有效实施和管理云解决方案所需知识和经验的合格网络安全人才仍然是加快云采用速度的最关键障碍(37%)。其次是法律和监管合规问题(30%)以及数据安全和泄漏风险(29%)。 为了克服这些障碍,组织应该投资于员工培训和认证,制定强大的安全和合规策略,并与云服务提供商密切合作,以确保无缝集成并解决安全问题。 阻碍企业采用云的最大障碍是什么? 37%30%29% 缺乏工作人员资源或专业知识 Legal& 法规遵从性 数据安全, 损失和泄漏风险 27% 24% 23% 22% 与现有IT环境集成对供应商锁定的恐 惧 一般安全风险缺乏预算 成本/缺乏ROI21%|内部阻力和惯性20%|失去控制19%|管理云部署的复杂性18%|缺乏透明度和可见性15%|计费和跟踪问题14%|云服务模型缺乏成熟度 13%| 缺乏管理支持13%|对云服务产品/性能/定价的不满意12%|缺乏可定制性10%|缺乏云提供商的支持8%|云中应用程序的性能8%|可用性8%|其他5% 多云增加了复杂性并带来了新的安全挑战。多云环境所需要的技能和专业知识在以下事实中得到了明确的强调:四个顶级挑战中有三个与拥有合适的人才以及对每个云平台的深入理解有关。 持续的技能差距显然是最重要的挑战,强调拥有一支能够有效管理和部署跨多个云平台的安全解决方案的熟练劳动力的重要性。 保护多云环境的最大挑战是什么? 58% 52% 45% 44% 49% 具备在所有云环境中部署和管理完整解决方案的技能 确保每个环境的数据保护和隐私 了解不同的解决方案如何组合在一起 了解服务集成选项失去可见性和控制 跟上变化率38%|管理不同解决方案的成本37%|根据用户的凭据为其提供无缝访问37%|选择正确的服务集36%|其他3% 组织优先考虑哪些提供商的云使用?知名提供商,例如MicrosoftAzure(72%)和AmazonWebServices(67% ),继续主导市场。但是,预计未来的云采用率对于GoogleCloudPlatform(21%)和OracleCloud(20%)很高。 您当前使用或计划将来使用哪些云IaaS提供商? 当前Use未来增长 72% 15% 67% 16% 40% 21% 20% 20% 11% 16% 7% 11% 6% 11% 46% 第三方云安全供应商 47% 托管服务提供商 在选择云安全交付时,大多数组织都依赖其云提供商提供的原生安全工具(74%)。这些内置工具提供了针对特定云环境的保护和集成水平,使其成为热门选择。 大量组织(47%)选择与托管服务提供商合作,以满足其云安全需求。通过外包给托管服务提供商,组织可以从提供商的专业知识和资源中获益,这可以帮助他们管理保护其云环境的复杂性。许多组织还选择第三方云安全供应商来提高他们的安全状况(46%)。这些供应商提供专门的解决方案,可以补充或扩展云提供商提供的本地安全工具的功能。 74% 原生云提供商 安全工具 您如何获取云安全? 当被问及第三方安全解决方案与云运营商提供的原生云安全平台相比如何时,一半的网络安全专业人员认为两者的性能相似 (50%),其次是44%的人认为专用第三方安全解决方案的性能更好。 这些发现表明,网络安全专业人员普遍认为,与云供应商相比,第三方安全供应商可以提供类似的或在某些情况下更好的云安全性。这强调了评估安全选项并选择最适合组织特定需求和要求的解决方案的重要性。 您如何看待来自第三方安全供应商的云安全比较使用来自云供应商的云安全? 44% 认为来自独立安全供应商的云安全比云供应商更好 1% 9% 35% 50% 5% 很多更好更糟 好多了更好类似更糟更糟 网络安全专业人员如何评价其云提供商的原生安全性的完整性?大多数受访者认为Azre提供了最有效的原生云安全控制和服务 (73%),反映了对Microsoft安全特性和功能的高度信任。AWS的原生云安全控制(66%)也受到受访者的高度评价,这表明人们对亚马逊的安全产品有着强烈的信任。尽管与Azre和AWS相比不太受欢迎,但仍有一部分受访者认为GoogleClod的原生安全控制和服务是有效的(35%)。 以下哪个平台提供了最充足的原生云安全控制和服务? 73% MicrosoftAzure 66% AmazonWeb 服务(AWS) 35% Google 云 10% OracleGOP 云 4% 阿里云 其他4% 缓慢迁移到基于云的安全性的最大障碍是什么?有趣的是,组织面临的最大挑战主要不是安全技术,而是人员和流程。缺乏网络安全人员专业知识和培训(53%)仍然是迁移到基于云的安全解决方案的最大障碍。组织在提高团队技能并为他们提供有效管理和保护云环境所需的知识方面继续面临挑战。 其次是预算挑战(44%)和数据隐私问题(38%)。 迁移到基于云的安全解决方案的主要障碍是什么? 53% 44% 38% 36% 员工专业知识/培训预算数据 隐私 法规遵从性要求 34% 31% 30% 21% 数据驻留缺乏与内部部署安全技术的 集成 解决方案成熟度 投入到本地工具中的沉没成本 云安全平台的完整性(DDoS攻击,入侵)19%|对加密密钥的有限控制18%|可扩展性和性能14%|不确定/其他9% 总体而言,关键发现表明组织在保护其云工作负载方面面临着多种挑战,包括缺乏熟练的员工(43%),确保合规性(37%)以及对基础架构安全性的可见性(32%)。解决这些问题需要结合改进的安全工具和流程,并增加对网络安全培训和劳动力发展的投资。 试图保护云工