2023年云安全报告（英）

2023 THESTATEOF云-NATIVESECURITY 2023年报告 | 唯一的 恒定是变化 很少有人能像云安全专业人员那样与格言相关。 云安全是动态且不可预测的，但向混合工作的转变加速了改变并增加了应用程序安全性的复杂性。作为云原生应用程序发展不断发展，组织的云基础设施也是如此(80%的调查 受访者表示他们的云基础设施正在发展)。更重要的是，云已经改变了应用程序生命周期，DevOps现在在warp交付生产代码速度和安全人员努力跟上。 今年调查中，超过75%的受访者正在部署新的或更新的代码每周生产，几乎40%的人每天提交新代码。再加上 每个安全专业人员的十个开发人员的比例1,2以及潜在的挑战规模和复杂性不难理解。 与本地环境相比，云计算遵循共同的责任 模型。基础架构（例如，计算、网络和存储）的责任是与云服务提供商(CSP)共同承担安全责任 TheCSPandtheircustomers.Butthesharingstoppedwhenitcomestoresponsiblefor 客户的应用程序、数据和访问管理。组织的安全性和开发团队拥有这一责任，必须协作才能成功保护他们的云环境。 要为这些团队提供所需的资源，有必要了解 他们面临的挑战(无论是紧急的还是常年的)，他们使用的解决方案，以及帮助他们履行职责的解决方案的有效性。 组织如何选择安全工具，以及这些工具是如何 可操作的？哪些做法产生了最好的安全结果，哪些是 阻碍努力？我们在我们的年度多行业中探索了这些问题和其他问题云原生安全状况调查。 1职业展望手册-劳动统计局的软件开发人员，质量保证分析师和测试人员 2劳工统计局，职业展望手册-劳工统计局信息安全分析师 |1 云原生安全状态|2023ii 我们发现了什么? 左移安全正在加速。 由于未解决的漏洞可以在 生产中，捕获和修复这些至关重要应用程序开发早期的漏洞 生命周期。我们的调查显示，引入的风险在应用程序开发的早期是#1关注的问题。已知漏洞、嵌入式恶意软件和 敏感数据，如机密或配置数据，是早期风险的一些例子。抓住紧急 上游的威胁，安全团队转向工具，如代码仓库扫描，软件组成分析(SCA)和注册表扫描。 决定工装有 变得乌云密布复杂性。 被离散工具的激增所淹没 选项，超过75%的受访者报告说他们的组织努力确定哪些安全 工具可以帮助他们满足他们的需求。每个离散工具的数量和作用可以呈现操作头痛和进一步隔离孤岛，通常在组织的安全中造成盲点 姿势。 协作 跨团队是必不可少的 更好的安全性结果。 与传统安全不同，云要求用户 团结不同的团队围绕一个共同的目标。做这一点，组织需要有意识地 打破孤岛。我们的调查显示81%的企业拥有嵌入式安全专业人员 他们的开发和运营团队。从这里开始，组织必须在摩擦出现时保持协调 并开发一种激发 信心和不减慢DevOps进程 down. TABLEOFCONTENTS 执行摘要i 关键发现ii Introduction1 企业如何迁移到云2 云原生企业中的应用速度6 云的复杂性7 对安全团队的影响8 企业如何接近安全12 应用程序开发人员如何塑造安全性14 前进的道路15 Recommendations17 云原生的第三个年度状态安全报告审查了不断发展的安全实践、工具和技术 世界各地的组织利用云的优势 服务和新的应用程序技术堆栈。 从2022年11月21日至12月14日进行的调查数据来自包括美国、澳大利亚在内的七个国家的2500多名受访者，德国、法国、日本、新加坡和英国。 所有主要行业都包括在样本中，代表来自 消费品和服务、能源资源和工业、金融服务、医疗保健、技术、媒体和电信。 超过50%的样本来自企业级组织(超过年收入10亿美元)。 受访者在行政领导和行政领导之间平均分配从业者级别的角色，以广泛理解情感 organizations.Practitioner-levelrespondentswererestrictedtothosewho 从事开发、IT或信息安全工作。 所有受访者都报告自己知识渊博，熟悉他们的组织的云运营和云安全，并来自 专业调查小组。 PaloAltoNetworks与大多数女性的FossickerGroup合作- 拥有的、提供全方位服务的研究公司，关于今年报告的所有要素，包括调查设计、实地考察、分析、叙述、数据可视化和报告设计。 云迁移仍在成长 与过去几年类似，2023年的组织已经转向更多公共托管其云工作负载。 53%的云工作负载托管在公共云上，这一数字增加了8%。过去一年。平台即服务(PaaS)和无服务器是主要的应用程序执行环境。 从区域来看，我们没有发现公开托管的云工作负载的显著差异在北美(NAM)、亚洲、太平洋和日本(APJ)以及欧洲、中东、非洲（EMEA）。 应用程序执行环境 公开托管的云工作负载 按地区 NAM APJ EMEA 36% PaaS和无服务器 22% VM 18%18% CaaS容器 公开 托管 54% 53% 50% 图1.2023年按架构类型划分的工作量分布百分比 图2.2023年按区域公开托管的云工作负载百分比 是什么促使组织扩展到云？ 首要原因是建立新的和扩展现有的产品和服务，其次密切关注提高效率和敏捷性的愿望。 但安全考虑继续阻碍企业应对风险的能力并利用云。 扩展到云的五大理由 建设新的和 扩展现有产品和服务 增加 效率和 敏捷性 创建新 过程和 工作流 缓解 业务和监管风险 扩展 进入新市场 云迁移确实不总是相等与云本地 APPLICATIONS 云原生和提升和转移是最常用的两个将应用程序部署到云中的方法 首选10%的利润率来重构或重建。 这是第一次云原生在应用程序开发。 云的部署在三个区域之间有所不同。NAM的比例较高 与APJ和EMEA相比，云原生开发。APJ几乎平均分配在三种方法之间，EMEA的提升和转移百分比最高 各地区。 应用的主要方法部署到云 将应用程序部署到云的方法 按地区 NAM APJ EMEA 36% 提升和移位 27% 重构或 重建 提升和移位 (已将应用程序迁移到按原样或只有次要云 修改) 35% 32% 40% 已重构或已重构 (已将应用程序迁移到具有重要意义的云 修改) 25% 34% 26% 37% 云原生 云原生 （Net新应用程序完全建在 云) 40% 34% 34% 图3.应用程序的主要方法 部署到云，2023年 图4.2023年按区域划分的应用程序部署到云的主要方法 超过三分之二报告更高 云TCO 预期 平均而言，组织花费的费用占其总成本的最大比例所有权(TCO)与应用程序迁移成本有关。 尽管如此，除一名受访者外，所有受访者都表示，他们将在未来扩展云。调查受访者报告称，自 去年，预计未来24个月将进一步增长11%。 也许并不奇怪，更多的高管受访者认为TCO更高 比预期的（70％）和从业者级别的受访者（63％）。与此相关，几乎 60%的高管受访者表示，与之相比，安全成本高于预期不到50%的从业者。 在接下来的24个月里, 受访者期望工作量增加11% 移动到云。 图5.2023年云中的工作量百分比 云中的工作量百分比 40% 53% 64% 过去12个月 目前 未来24个月 现在趋势： #CLOUDMIGRATION 云迁移预计将继续，但这到底意味着什么？这取决于你问谁。 对于云架构师来说，云迁移意味着利用多种应用程序迁移方法，如提升和转移、重构和云原生开发。取决于 时间表、预算、底层技术和公司合规性，每种方法都可以采取不同的路径。这些架构决策导致工作负载技术的混合 运行应用程序，例如无服务器、容器（自托管或托管）、平台作为服务(PaaS)和虚拟机(VM)。VM仍然是 托管工作负载，但无服务器和PaaS预计将进一步增长，因为 70%以上的受访者表示，未来24个月的使用量预计会增加。 对于开发人员来说，迁移到云是采用DevOps和加速的机会事实上，77%的人正在将新的或更新的代码部署到 每周生产，38%的人每天提交新代码。受访者报告在过去的12个月里，部署频率增加了67%，很明显从代码到云的驱动只是在加速。 对于安全专业人员来说，迁移到云的挑战不仅仅是 应用程序和数据的迁移。用于构建、部署的现代架构和技术堆栈和运行应用程序需要一种采用应用程序感知工具的新方法， 产品和方法。鉴于广阔的攻击面，确保云- 本机架构必须是安全专业的目标。 | 云原生安全状态|2023 中的应用速度云企业 6 三分之二的企业表示部署频率在过去一年中增加或显著增加，38%的企业每天将代码部署到生产或发布给最终用户，17%的人每天部署多次。三分之一的企业报告经营 代码部署的频率 与内部SLO（服务级别目标）不到一天的更改时间，38%的预期服务恢复一天之内。 17%3 按需 8% Daily 77% 每周 所有调查受访者中的68%报告部署频率增加。更重要的是，64%的人也报告增加了 图6.将代码部署到生产的频率 改变的时间。 或发布给最终用户，2023年 部署频率和变化的提前期测量速度。因此，如果企业 没有实现和维持他们的速度性能目标，这可能表明效率低下在DevOps过程中。这两个领域的增加可能表明 安全专业人员(人数超过开发者10:1)正在付出代价增加应用速度。 我们更进一步，看看企业是多么灵活 响应变化，特别是部署频率及其领先优势过去12个月的变化时间。 在云原生企业中，超过60%的企业报告部署有所增加前一年的频率。在同一时期，只有48%的人报告铅增加改变的时间。 过去12个月部署频率的变化 Total 云原生 非云原生 增加 68% 61% 68% 保持不变 22% 28% 22% 减少 10% 11% 10% 图7.2023年过去12个月部署频率的变化 7 前5大挑战 移动到云 1 技术复杂性 2 缺乏人才和/或 咨询服务 3 保持全面 安全 4 缺乏能见度 服务和提供商 5 会议合规性 requirements 77% 组织的斗争 识别哪些安全工具：有必要实现他们的 目标。 76% 的受访者说云安全数量 他们使用的工具创造盲目 斑点。 云原生安全状态|2023 障碍物云采用和扩展 过度使用工具导致过于复杂的云环境。 尽管应用程序和工作负载云迁移率很高，但增长率略低于去年。其中一些可能是 归因于当前的宏观经济状况。当被问到关于他们在迁移到云中所面临的挑战，组织给出的前五个答复不是财务上的 related.Infact,budgetonlyincreasedasaconcerningby2points 从2020年开始。与三年前相比，最大的变化关于“缺乏人才”的报道增加了11 点。 有趣的是，五大担忧与 顶级关注-技术复杂性。复杂 环境需要更高水平的人才和适应能力不断变化的技术，更难以安全 全面地，更难获得能见度，并且导致更大的合规挑战。 在查看C套件和非C套件响应时，C套件缺乏人才或咨询服务是一个更大的挑战 比非高管受访者(也就是那些可能是实施者)认为技术复杂性更大 云迁移的挑战。 平均而言，组织依靠30多种工具来实现整体安全性和六到十个专门用于云安全的工具。3向上75% 我们的云原生安全状况调查受访者 报告说，他们使用的云安全工具的数量创建盲点，影响他们优先考虑风险和防止威胁。为什么要使用这么多工具？告诉77%的组织努力找出什么 安全工具是实现其目标所必需的。 复杂性似乎阻碍了安全，这是一个问题。超过60%的受访组织 在云环境中运行三年或更长时间，但技术复杂性和维护全面安全 仍然阻碍他们的云迁移工作。 3网络的下一步是什么，帕洛阿尔托网络 对安全的影响 TEAMS 随着漏洞和错误配置向上游移动，新的应用程序- 级别的风险正在出现。 在我们分析的五个安全指标中，不到四分之一受访者看到的结果与去年相似。在