云原生应用保护平台(CNAPP)调查报告

©2023云安全联盟大中华区-版权所有1 @2023云安全联盟大中华区－保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：（a）本文只可作个人、信息获取、非商业用途；（b）本文内容不得篡改； （c）本文不得转发；（d）该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2023云安全联盟大中华区-版权所有2 ©2023云安全联盟大中华区-版权所有3 致谢 《云原生应用保护平台（CNAPP)调查报告（CNAPPSurvey-SponsoredbyMicrosoft）》由CSA工作组家编写，CSA大中华区秘书处组织翻译并审校。 中文版翻译专家组（排名不分先后）：组长：刘文懋 翻译组： 白玉强崔崟伏伟任李卓嘉廖武锋鹿淑煜申屠鹏会 研究协调员：卜宋博 感谢以下单位的支持与贡献： 北京神州绿盟科技有限公司北京沃东天骏信息技术有限公司奇安信网神信息技术（北京）股份有限公司三未信安科技股份有限公司 上海物盾信息科技有限公司中国工商银行股份有限公司 感谢我们的赞助商 云安全联盟（CSA）是一个由会员驱动的非营利组织，致力于定义和提高对最佳实践的认识，以确保安全的云计算环境。CSA利用行业从业者、协会、政府及其企业和个人成员的专业知识，提供云安全相关的研究、教育、认证、活动和产品。CSA的活动、知识和广泛的网络使受云影响的整个社区受益，从供应商和客户到政府、企业家和保险行业，并提供一个多方共同合作的平台，以创建和维护一个可信的云生态系统。CSA研究以供应商的中立性、敏捷性和结果的完整性而自豪。 感谢我们的赞助商微软（Microsoft）为研究的开发提供资金支持，并通过CSA研究生命周期的确保质量控制。赞助者是支持研究项目结果的CSA公司会员，但对CSA研究的内容开发或编辑权没有额外的影响。 关于赞助商 微软安全帮助保护人员和数据免受网络威胁，让您安心。 欲了解更多信息，请访问：https://www.microsoft.com/en-us/security 英文版本编写专家 主要作者： HillaryBaron 贡献者： MarinaBregkou JoshBuker RyanGifford SeanHeide AlexKaluza JohnYeoh 设计师： ClaireLehnert 特别感谢： AdwaitJoshiThomasZou 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给予雅正！联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号。 序言 在这个日益全球化的数字时代，云计算作为技术革新的核心，正不断推动着企业的数字化转型。作为这一领域的先锋，《云原生应用保护平台（CNAPP）调查报告》为我们提供了对云安全前沿的深刻洞察。得益于微软的赞助和CSA大中华区专家团队的卓越工作，本报告不仅仅是一个研究成果，更是一个全球视野下的指南。 报告详细探讨了云原生应用保护平台（CNAPP）在安全态势管理、云工作负载保护等方面的应用，强调了在DevSecOps实践中整合安全性的必要性。我们深入分析了自动化在提高云安全效率中的关键角色，以及如何在灵活性和响应能力保障的同时维护安全。报告中还阐释了面对不断演变的安全威胁，企业如何有效实施云安全策略，以及如何应对数字化转型过程中出现的新挑战。 本报告的核心在于它不仅为全球范围内的企业和技术专家提供了宝贵的见解，还为整个云安全社区搭建了一个交流和合作的平台。我们希望它能激发更多的行业讨论，推动更广泛的合作与创新，共同构筑一个更安全、更高效的数字世界。 在数字化和云计算不断发展的今天，这份报告不仅是云安全领域的重要参考，也是每一位致力于数字化转型的专业人士的必读之作。让我们一起探索云计算的未来，共同应对挑战，迈向更加安全、智能的数字化新时代。 李雨航YaleLiCSA大中华区主席兼研究院长 目录 致谢4 序言7 调查的创立和方法论9 研究目标9 关键发现10 云原生应用程序保护平台:四分之三的组织选择使用CNAPP来保护其多云环境10 云安全态势管理：安全团队需要明确的信息以进行适当的优先级排序11 DevOps安全：DevOps安全的重要性日益得到认可，但缺乏专业知识和人才阻碍了进程12 云工作负载保护：围绕事件响应的挑战回归为人员、流程和技术13 网络安全：最成熟的实现，但威胁检测仍为挑战14 云基础设施授权管理:高度关注权限配置错误16 结论16 调研发现17 云的使用和安全17 云原生应用保护熟悉云原生应用保护平台21 云安全态势管理23 云工作负载保护事件响应的挑战25 安全DevOps26 网络安全和云上权限29 统计来源31 调查的创立和方法论 云安全联盟（CSA）是一个非营利组织,其使命是广泛推广确保云计算和IT技术中的网络安全最佳实践。CSA还就所有其他形式的计算中的安全问题向这些行业的各个利益相关者进行教育。CSA的会员包括行业从业者、企业和专业协会的广泛联盟。CSA的主要目标之一是进行调查,评估信息安全趋势。这些调查提供了关于组织当前的成熟度、意见、兴趣和有关信息安全和技术的意图的信息。 微软委托了CSA开展一项调查和报告,以更好地了解行业对云原生应用程序保护平台（CNAPP）的知识、态度和观点。微软为该项目提供了资金支持,并与CSA研究分析师共同制定了调查问卷。该调查由CSA于2023年4月在线进行,收到了来自各种规模和地点的组织中的IT和安全专业人员的1201份回复。CSA的研究分析师对本报告进行了数据分析和解释工作。 研究目标 调查的主要目标是更深入地了解以下内容: 组织在云安全方面的优先事项和挑战 行业对CNAPP的熟悉程度和采用成熟度 安全态势管理、云工作负载保护和DevSecOps（开发、安全和运营）的当前方法及挑战 关键发现 随着组织越来越多地利用多云策略,传统的安全解决方案通常很难为这些动态和分布式应用程序提供充分的保护。近年来，由于全面保护多云环境的复杂性以及整合组织当前部署的许多安全工具的能力，云原生应用保护平台已成为关键的安全工具类别，其中包括云安全态势管理（CSPM）、云工作负载保护 （CWP）、云基础设施权限管理（CIEM）、网络安全和安全DevOps。这项调查旨在了解组织在有效实施CNAPP方面的采用率和面临的挑战。它旨在提供有关CNAPP部署的当前状态的见解,识别需要支持的领域,并指导决策制定。以下是一些关键发现。 云原生应用程序保护平台:四分之三的组织选择使用 CNAPP来保护其多云环境 大多数组织(75%)已经或计划在其云环境中实施CNAPP。这一高采用率可以归因于多云策略的盛行，有84%的组织使用了两个或多个云环境。然而，现有的安全工具通常不足以充分支持如此复杂的多云设置，导致组织寻求像CNAPP这样的替代解决方案。调查显示，仅有不超过30%的组织通常将部署的安全工具（如CSPM、CWP和CIEM）集成到多个云环境中。在CNAPP提供的功能中，CSPM凭借其在解决安全态势可见性方面的重要性成为关键吸引因素(25%)，这被认为是组织的首要任务(42%)。这些数据清楚地说明了CNAPP为什么在组织中引发了广泛的兴趣。 云安全态势管理：安全团队需要明确的信息以进行适当的优先级排序 由于安全团队受到巨大数量警报的影响，他们在优化安全过程中一直在面临管理和优先级排序的困难。32%的受访者透露，由于他们收到的信息数量庞大且经常不准确，他们在优先处理安全改进方面感到困难。此外，34%的人发现自己被安全建议所困扰，而同等比例的人缺乏相关或可操作的见解来做出明智的决策。他们可能会收 到大量警报或建议，但这些信息未能提供必要的详细信息以指导他们采取正确的行动方向。 信息管理的问题与调查的另一个关键发现相关，即不同组织之间的监控设置存在广泛差异。有趣的是，33%的受访者使用完全基于代理的监控系统，而37%的受访者则主要采用无代理方法，尽管他们还是会辅以一些基于代理的监控。这种差异很可能受到特定供应商和组织可以访问的技术类型的影响。 总的来说，组织可能需要找到能够通过自动化和集中式的安全工具和技术来支持其 安全态势管理。自动化将有助于缓解在优先级和建议（最佳实践）间的一些混淆。集中式的安全工具和供应商将帮助合并警报并提供更好的上下文信息，从 而帮助团队调整合适的优先级；最终帮助他们采取正确的行动。 DevOps安全：DevOps安全的重要性日益得到认可，但缺乏专业知识和人才阻碍了进程 尽管安全左移和DevSecOps是发展趋势，但是由于一些重大的问题阻碍了完全融合的进程，将稳健的安 全措施整合入DevOps仍然处于早期阶段。目前，有51%的组织正在将安全集成到他们的DevOps实践中，但只有35%的组织声称已经完成了整合。其中的主要挑战在于：缺乏安全专业知识，自动化不足，过多 的误报以及缺乏可操作的反馈。组织必须直面并解决这些问题以实现成功的整合。 在这些障碍中，首要的问题是缺乏安全专业知识，有46%的受访者报告了这一问题这种不足可能会在DevOps的流程中引入漏洞，攻击者可能会潜在地利用这些漏洞。更麻烦的在于关于DevOps安全的责任和问责制存在模糊不清，不同的团队经常假设这是对方的责任。为了解决 这个问题，组织应该为DevOps团队提供安全培训，聘请安全专家，并在组织内打造“安全为先”的文化。 其它主要挑战都与技术相关，这其中最大的挑战是缺乏自动化，由43%的 受访者指出。缺乏自动化流程会使组织难以有效地管理和展开DevOps的落地。误报也是另一个重要的问题，有42%的组织被误报困扰。高误报率使得安全团队疲于应付，效率低下。最后，有42%的组织报告了缺乏可操作的反馈，这阻碍了他们对安全实践的有效响应。 与在安全态势管理上面临的挑战类似，教育、培训以及工具的质量是成功实现安全集成的要素。组织必须密切关注这些方面，以确保安全与DevOps的有效集成，从而更有效地保护其运营。 云工作负载保护：围绕事件响应的挑战回归为人员、流程和技术 在DevOps中，人员和技术挑战一直是焦点，但在涉及云工作负载保护和事件响应方面，问题涉及到所有方面：人员、流程和技术。 人员：25%的受访者认为人力资源缺乏是一项重要挑战。人手短缺妨碍了组织有效应对安全事件的能力，而缺乏规范的响应方案则会加剧这个问题。确保安全团队能够获得全面的培训、必要的工具和资源，将帮助他们更高效地处理安全事件。 流程：29%的组织声称缺少正式的应急响应计划。没有清晰的路线图，组织往往难以理解他们在安全事件中的职责。为此，组织应当制定并实施正式的事件响应计划。该计划应当明确列出在面对安全事件时，事件响 应团队的职责和行动步骤。定期测试和更新响应计划以确保其有效性也至关重要。组织应积极发现并主动弥补事件响应计划中的潜在不足。 技术：缺乏自动化是组织正在努力解决的另一个关键挑战，有39%的受访者报告了这一问题。自动化工具可以大幅减少响应时间，提高威胁调查的效率。因此，实施这些工具是改进事件响应的关键步骤。自动化事件响应流程的工具可以实时查看潜在的安全事件,如CNAPP和安全信息和事件管理（SIEM）系统。组织还应在有助于评估安全事件优先级和减少误报数量的技术上有所投入，从而提高安全效率。 有效应对安全事件并保护云工作负载的能力源自人员、流程和技术。优先考虑这些领域将使组织能够强化其事件响应能力，从而确保其云工作负载得到坚实的保护。 网络安全：最成熟的实现，但威胁检测仍为挑战 在所有类别中，网络安全是最成熟的。值得关注的是，43%的受访者报告在多云环境中实现了网络安全的全面整合，而CSPM的整合率仅为28%。零信任战略的普及可能是这种成熟水平背