2024 年云原生安全报告

云原生安全的 2024年报告 现状 执行摘要 回一顾年过去的 在开始探讨2024年云原生安全现状 时，我们首先回顾一下2023年发生的事件以及产生的影响，这些事件和影响都与我们当前的态势、我们面临的挑战以及我们为实现预期成果而选择的战略息息相关。 2023年，敏捷开发、开源软件和云原生技术的发展势头十分强劲，而针对应用层的攻击也成了一种必然趋势。云原生生态系统面临着供应链攻击激增的问题，这表明开源软件和第三方库中普遍存在的漏洞。我们的Unit42团队分析的真实世界数据坐实了这种局面，将云确定为主要的攻击面，80%的中度、高度和严重暴露都存在于云托管资产中。1 一段时间以来，我们一直将应用程序和基础设施的安全放在首位。但是，我们不能忘记第三个悬而未决的重要因素。2023年，全球数据空间达到120ZB，2因此确保敏感数据的安全仍然至关重要。然而，监测和控制敏感信息所面临的挑战已经升级。 12023年CortexXpanseASM威胁报告 2DataCreatedWorldwide2010-2025 云安全与我们努力实现的其他目标一样，都是一种业务目标。 更重要的是，2023年，生成式人工智能横空出世，成为了一种突破性技术，它有可能将开发时间和成本减半，最终重新定义应用经济。3但就像云技术及其无数好处与我们必须解决的挑战密不可分一样，作为一种开发工具，生成式人工智能也伴随着令人担忧的问题。就在我们刚刚开始思考潜在的问题时，OWASP就面向安全团队发布了十大LLM安全风险，提醒我们注意提示词注入、不安全的输出处理，以及供应链漏洞和敏感信息泄露的新途径。 但挑战对我们来说并不陌生。可以说，生成式人工智能就像云技术一样，已经成为一种主流。我们将以责任意识和安全优先为原则，越来越多地挖掘其强大力量。 展望未来，当我们在追求目标的道路上不断前进时，我们确信一件事—云安全与我们努力实现的任何其他目标一样，都是我们的业务目标。 3生成式人工智能的经济潜力|麦肯锡 简介 有不我备待无患，时 预复杂测云威环胁境并中调的整恢战复略能可力以。确保 在与时间的赛跑中，做好充分准备才是游戏的奥义。除了时间的束缚，几乎听不到云安全从业者谈论其他痛点。毕竟，他们在与以机器速度移动的攻击者竞争识别漏洞的同时，还要被大量警报淹没，手动整理来自分散工具的数据。 在今年的云原生安全现状调查中，90%的受访者希望更好地确定风险优先级，这是可以理解的。超过90%的人表示，自己使用的单点工具数量过多，造成了盲点，影响了确定风险优先级和防范威胁的能力。62%的安全从业人员希望获得方便使用的安全解决方案，每3位受访者中就有 1位认为技术的快速变化是导致攻击面扩大的主要障碍。 多云到底有多少？企业平均利用12家云服务提供商(CSP)为其部署的应用程序提供SaaS、IaaS和PaaS服务。再加上平均使用16种云安全工具，这凸显了安全团队必须驾驭错综复杂的生态系统。98%的共识强调了减少安全工具数量的重要性，从简化和整合的角度定义了如何准备就绪。 企业平均利用 12家云服务提供商。 各的企需业求正？在采取哪些措施来满足数据安全和快速部署 各企业在哪些方面遇到了挑战？ 各企业在哪些方面遇到了挑战？是否将解决方案纳入其业务框架？ 企业如何在安全和开发团队之间架起桥梁？企业应对人工智能相关安全风险的准备情况如何？ 源源不断的问题，例如与人工智能生成的代码和未管理的API相关的安全风险，加上访问管理不完善和攻击面不断扩大等传统挑战，凸显了云安全威胁不断变化的本质。各企业正在重新思考其战略，许多企业强调需要进行根本性变革，从一开始就增强云安全性。要为安全和DevOps团队配备必要的资源，了解大局至关重要。 各企业正在采取哪些措施来有效保障数据安全并满足快速部署的需求？各企业在哪些方面遇到了挑战？企业如何在安全和开发团队之间架起桥梁？企业应对人工智能相关安全风险的准备情况如何？如何有效地将解决方案整合到业务框架中？ 我们一年一度的多行业调查旨在回答这些问题以及更多问题，深入探索塑造云原生安全未来的最佳实践。 要点 2024年调查发现 法更时多，时5间0重%构的应受用访程者序表，示而会花不 人己们的正直在接重迁新移思部考署自。当云，被他问们及会如采果取是哪首些次不迁同移的到做 是在迁移时只做最小的改动。 我们的调查显示，将工作负载转移到云端但未针对云端进行优化的企业，其总体拥有成本较高，这也印证了上述观点。更重要的是，他们的应用程序并没有获得云技术闻名遐迩的灵活性和可扩展性优势。 要来源。 SecOps之间的冲突是压力的重 52% 52%的受访者认为DevOps与 要性之间的紧张关系。 速开发的需要与维护安全的必 署归咎于安全漏洞，突出了快 风险，71%的受访者将仓促部 71% 强调了与加快上市进度相关的 过重大发布延迟。 近一半的受访者或多或少都经历 48% 当时，安压全力被就视会为很一大种。障碍 8发6布%的的一受个访制者约认因为素，。安全是阻碍软件 </> 令人担忧。 人工智能生辅成助的攻码击比更 38%的受访者将人工智能驱动的攻击列为首要的云安 全问题。 对人工智能生成的代码带来的风险更加担忧。 是的，据称所有受访者都接受人工智能辅助编码。 100% 44% 38% 超士过预五测分，之人二工智(4能3%驱)动的的安威全胁专将业避人开胁载传体统。检测技术，成为更常见的威 目录 2执行摘要：回顾过去的一年 4简介：有备无患，时不我待 62024年调查发现要点 11云经济：全球视角 13从探索到云原生创新 16规划传统应用程序的成本优化 18平衡工具、供应商和企业需求 21云安全的首要关注点 25事故响应：与时间赛跑 28保护云中敏感数据的安全 31有什么不同的做法？ 34人为因素 37风险、现实和云安全战略 40拥抱未知：人工智能对应用程序生命周期的影响 43保护云安全的建议 第全四现年状《报云告原》生对安全球企业为利技服术 进行了考察。 堆实栈践而、采工用具的和技安术全 我们的研究样本涵盖了主要行业部门，其中包括消费品和服务、能源资源和工业、金融服务、医疗保健、技术、媒体和电信。 超过50%的样本来自企业规模的组 织（年收入超过10亿美元）。 调查参与者中既有高管领导，也有从业人员，涵盖了各企业的广泛观点。从业人员级别的参与者具体来自开发、信息技术或信息安全职能部门。 所有受访者都表示自己对企业的云业务和云安全状况了如指掌，并且数据来源于专业调查小组。 PaloAltoNetworks与WakefieldResearch合作进行了我们的调查。 调查于2023年12月20日至2024年1月17日进行，收集了来自澳大利亚、巴西、法国、德国、印度、日本、墨西哥、新加坡、英国和美国共10个国家2800多名受访者的数据。 10云原生安全的现状 云经济 全球视角 在肯定各了个云地计区算，的云战计略算意投义资。趋势都 率进行了大量投资，希望推动数字化转 全球各企业对云基础设施、服务和运营效 求更高的敏捷性、可扩展性和创新性，投 型和扩张。总体趋势显示，云计算支出激增，50%以上的企业每年在云服务上的投资超过1000万美元。这种将云技术融入业务运营各个方面的做法表明，随着企业追 资趋势即使不会加速，也会持续下去。 在各地区之间，我们看到了细微但有说服力的差异。澳大利亚、墨西哥和新加坡在较高的投资区间内表现出强劲的云计算支出，而美国和英国则继续在中等范围内进行大量投资。法国和德国的云计算支出模式显示出成熟而谨慎的态度，大部分投资都在900万欧元到4600万欧元之间。 相比之下，在巴西、印度和日本等新兴市场中，投资额低于1,000万美元的企业比 例较高，分别为40%、41%和43%。除了云计算的成熟度之外，这一趋势还可能反映出这些地区中小型企业的增多以及保守的支出战略。 与拥有“初级基础设施”的企业相比，自称“广泛集成”或“完全原生环境”的企业倾向于在云技术上投入更多。例如，在英国，32%投资不足1000万美元的企业处于探索云计算的初始阶段，而76%投资1000万美元或以上的企业已经实现了广泛的云计算集成。这种局面在各地区都是一致的，表明随着企业在云计算领域的发展日趋成熟，云计算支出也在增加，这很可能是由于采用了更先进的云服务和架构，以及规模的扩大。 美国 英国新加坡澳大利亚 巴西法国德国印度日本墨西哥 0% 云支出快照 30% 70% 32% 69% 27% 73% 28% 72% 40% 61% 36% 65% 36% 64% 41% 59% 43% 57% 29% 72% 10% 20% 30% 40% 50% 60% 70% 80% 不到1,000万美元1,000万美元或以上 图1.地区性投资格局 从生创探新索到云原 云计适算应之、旅学不习是和线转性型的的。连这续是过一程方法，和由运战营略效投率资共、同成决熟定度。、部署 云计算的成熟度不仅限于技术的采用，而是既反映了一个企业的文化、流程以及驾驭云计算实现业务转型的能力，又对其产生了影响。在今年的调查受访者中，成熟度涵盖针对特定项目使用基本云基础设施，以及广泛集成和完全原生云环境。 50% 50%的受访者表示，自己会花 更多时间重构应用程序。 在这一范围内，我们看到应用程序部署方法之间的相关性。 图2.将应用程序部署到云端的主要方法 平均3年以上 31% 重构 33% 直接迁移 36% 云原生 总体平均 31% 重构 33% 36% 直接迁移 云原生 经验丰富的企业转向云原生 企业在云迁移过程中采取的务实方法 对直接迁移的部署偏好(35%)与许多 相一致。虽然云原生和重构部署可带来长期效益，但最初关注快速、低干扰迁移一直是一种约定俗成的方法。 迁移的比例为36%。 从直接迁移开始的企业通常会通过重构发展到云原生开发，从寻求速赢发展到拥抱云优先战略，以提高性能、可扩展性和成本效益。我们的调查证实了这一趋势，在使用云技术3年或以上的企业中，云原生部署取代直接 性能成、本可效扩益展性 > 速赢 完全云原生的呼喊 26%新加坡 图3.拥有最多完全云原生环境的国家/地区 利亚 26%澳大 14%德国 17%法国 24%美国 从各地区的成熟度趋势来看，澳大利亚(26%)、新加坡(26%)和美国(24%)的成熟度较高，各有约四分之一左右拥有完全云原生的环境。法国和德国紧随其后，分别为17%和14%。 随着企业深化云投资，他们也在不断改进应用程序的部署方法。 规模较大的企业更倾向于采用先进的部署方法，这可能是由于他们拥有更多的资源、复杂的要求以及对创新的战略关注。 规用本优程化传序统的应成 传统应用程序的现代化消耗很 大迁移一规部划分的，重强要调性了。战略性云 大多数受访者（全球67%）表示，用于传统应用程序现代化的支出占其云总体拥有成本(TCO)的10%到30%。在24%的企业中，成本飙升超过30%，这凸显了平衡运营连续性和追求创新的必要性。 程序。 3用0于%改的造云传计统算应成本用 在地区差异方面，拉丁美洲、日本和亚太地区有更高比例的受访者（分别为29%和26%）将30%或更多的云计算总体拥有成本用于传统应用程序的优化。印度尤为突出，42%的受访者表示，他们的云计算总体拥有成本中有30%或更多用于面向云端优化传统应用程序。当被问及为什么开发人员的时间被挪用到解决错误和代码漏洞时，45%的人将原因归咎于应用程序架构。 传统应用程序现代化方面的巨额支出突出表明，云迁移项目需要进行战略规划。各企业应评估哪些应用程序适合直接迁移，哪些应用程序需要重构或完全重新开发，以优化成本和效益。安全和合规方面的挑战使得这一点尤为重要，因为旧的应用程序在设计时可能根本就没有考虑到云原生安全。 45%的受访者表示，应 用太多程时序间架。构问题耗费了 平商