2023 年云原生安全现状报告

2023 2023年报告 云原生安全的现状 | 唯一不变的就是变化 没多少人会像云安全专家一样对这句格言有深刻的理解。 云安全具有动态和不可预测的特点，但是向混合办公模式过渡加速了这种变化并增加了应用安全的复杂性。随着云原生应用开发的发展，企业的云基础架构也在发展（80%的调查受访者表示其云基础架构在持续发展中）。此外，云已经改变了应用的生命周期，DevOps现在以极快的速度提供生产代码，而安全人员却难以跟上步伐。 在今年的调查中，超过75%的受访者每周都会在生产中部署全新代码或升级版代码，近40%的受访者每天都会提交新代码。除此之外，开发人员和安全专家的比例为10:1，可能会给规模与复杂性方面带来挑战就不难理解了。 与内部环境不同，云计算遵循共享责任模式。基础设施（如计算、网络和存储）的责任由云服务提供商(CSP)承担，安全责任由CSP及其客户共同承担。1,2但是，当涉及到对客户的应用、数据和访问管理的责任时，将停止共享。企业的安全和开发团队承担这一责任，并且必须开展协作才能成功保护其云环境。 为了给这些团队配备所需资源，有必要了解他们面临的挑战（包括紧急挑战和长期挑战）、使用的解决方案以及解决方案在帮助他们履行职责方面的效果。 企业如何选择安全工具，如何操作这些工具？哪些实践产生了最佳安全成果，哪些阻碍了努力的效果？我们在针对云原生安全现状的年度多行业调查中探讨了这些问题以及其他问题。 1职业展望手册-软件开发人员、质量保证分析人员和测试人员，美国劳工统计局 2美国劳工统计局，职业展望手册-信息安全分析人员，美国劳工统计局 | 云原生安全现状|2023年ii 有何发现？ 左移安全性正在加速。 由于未解决的漏洞可能会在生产过程中遭到利用，因此，在应用开发生命周期的早期阶段发现并修复这些漏洞至关重要。我们的调查显示，应用开发早期阶段出现的风险是首要问题。已知漏洞、嵌入式恶意软件和敏感数据（如私密数据或配置数据）是一些早期风险示例。为了发现上游出现的威胁，安全团队转为使用代码库扫描、软件组合分析(SCA)和注册表扫描等工具。 复杂性扰乱了团队针对工具做出的决策。 团队之间的协作对于提升安全成果而言至关重要。 由于离散工具可选方案的激增，超过75%的受访者表示，企业很难确定哪些安全工具有助于满足自身需求。每个离散工具的数量和作用可能会带来操作难题，并进一步隔离孤岛，这通常会在企业的安全态势中造成盲点。 与传统安全性不同，云要求用户围绕共同目标团结不同团队。要完成此举，企业需要有意识地打破孤岛。我们的调查显示，81%的企业在其开发和运营团队中增加了安全专业人员。因此，企业必须适应出现的摩擦，并开发一种能够激发信心而又不会减慢DevOps流程速度的安全架构。 目录 执行摘要i 重要发现ii 简介1 企业如何迁移到云端2 云原生企业中的应用速度6 云复杂性7 对于安全团队的影响8 企业如何实现安全12 应用开发人员如何保障安全性14 发展方向15 建议17 云原生安全现状|2023年1 第三份年度云原生安全现状报告分析了世界各地的企业为利用云服务和全新应用技术堆栈而采用的不断发展的安全实践、工具和技术。 该调查于2022年11月21日至12月14日进行，收集了来自七个国家的2,500多名受访者的数据，包括美国、澳大利亚、德国、法国、日本、新加坡和英国。 所有主要行业都包含在样本中，以消费品和服务、能源和工业、金融服务、医疗、技术、媒体和电信等行业为代表。 超过50%的样本来自企业级组织（年收入超过10亿美元）。 o在受访者中，高管层和从业者各占一半，以便全面了解整个企业的情况。从业者级别的受访者仅限于开发、IT或信息安全部门的人员。 所有受访者都表示自己对其企业的云运营和云安全状况了如指掌，并且数据来源于专业调查小组。 PaloAltoNetworks与TheFossickerGroup携手合作，FossickerGroup是一家以女性为主的全方位服务研究公司，负责本年度报告方方面面的工作，包括调查设计、实地考察、分析、叙述、数据可视化和报告设计。 云原生安全现状|2023年2 云迁移数量仍在不断增加 与过去几年类似，2023年的企业已向更多使用公开托管方式来托管云工作负载转变。 53%的云工作负载在公有云中托管，该比例比去年增加了8%。平台即服务(PaaS)和无服务器是主要的应用执行环境。 从地区来看，我们没有发现北美(NAM)、亚太及日本(APJ)以及欧洲、中东和非洲(EMEA)之间公开托管的云工作负载存在显著差异。 应用执行环境 36% PaaS与无服务器 18% 容器 18% CaaS 22% 虚拟机 按地区公开托管的云工作负载 北美地区 亚太地区及日本 欧洲、中东和 非洲地区 公开托管 54% 53% 50% 图1.2023年按架构类型划分的工作量分布百分比 是什么推动企业向云端扩展？ 图2.2023年按地区公开托管的云工作负载百分比 向云端扩展的五大原因 构建全新产品和服务并 扩展现有产品和服务 不断提高效 率和敏捷性 新建流程和 工作流程 降低业务和 监管风险 向新市场扩展 首要原因是构建全新产品和服务并扩展现有产品和服务，其次是提高效率和敏捷性。但是安全注意事项将持续阻碍企业应对风险和利用云的能力。 （完全在云云中原构建生的新应用） 云原生安全现状|2023年3 云原移生无应法用始划终等与号 云原生和直接迁移是将应用部署到云端最常用的两种方法，二者都有10%的优势，因而被选为重构或重建的首选方法。 这是云原生首次成为应用开发的前沿产品。 这三个地区的云部署有所不同。与APJ和EMEA相比，NAM的云原生开发比例更高。APJ这三种方法几乎是平均分配的，EMEA各地区使用的直接迁移比例最高。 （按原样直或在接仅迁作移少量修改后 将应用迁移到云端） （在做出重大重修构改后或将重应用建迁移到云端） 将应用部署到云的主要方法按地区将应用部署到云的方法 36% 27% 直接迁移 重构或重建 37% 云原生 北美地区 亚太地区及日本 欧洲、中东和 非洲地区 图3.2023年将将应用部署到云端的主要方法图4.2023年按地区将应用部署到云端的主要方法 云原生安全现状|2023年4 于预期 超表过示云三总分体之拥二有的成受本访高者 平均而言，企业在应用迁移方面花费的总体拥有成本(TCO)比例最高。 尽管如此，除一名受访者之外，其他所有受访者都表示他们将在未来扩展云。调查受访者报告称，自去年以来，迁移到云的工作量增加了13%，且未来24个月内预计将进一步增加11%。 与从业者级别的受访者(63%)相比，更多高管受访者认为总体拥有成本高于预期（70%以上），但这也许不足为奇。与此相关的是，近60%的高管受访者报告称安全成本高于预期，相比之下，只有不到50%的从业者报告称安全成本高于预期。 希望迁移到云端的工作 未来24个月，受访者 负载增加11%。 云中的工作负载百分比 40% 过去12个月 53% 目前 64% 未来24个月 图5.2023年云中的工作负载百分比 新#C趋L势O：UDMIGRATION （#云迁移） 云迁移预计将继续进行，但这到底意味着什么呢？这取决于谁来回答这个问题。 对于云架构师来说，云迁移意味着搭配使用多种应用迁移方法，例如直接迁移、重构和云原生开发。根据时间线、预算、基础技术和公司合规性，每种方法都可以采取不同方式。这些架构决策意味着搭配使用运行应用的工作负载技术，例如无服务器、容器（自托管或托管）、平台即服务(PaaS)和虚拟机(VM)。虚拟机仍然是托管工作负载的主要体系结构，但无服务器和PaaS预计将进一步增长，因为70%以上的受访者表示未来24个月的使用量预计会增加。 对于开发人员来说，迁移到云将有机会采用DevOps并加快应用开发生命周期的速度。事实上，77%的公司每周都在产品中部署全新或升级版代码，38%的公司每天都在提交新代码。受访者报告称，在过去12个月内，部署频率增加了67%，显然，从代码到云的迁移只会加速。 对于安全专业人员来说，迁移到云所面临的挑战不只停留于应用和数据迁移。用于构建、部署和运行应用的现代架构和技术堆栈需要一种采用应用感知工具、产品和方法的新途径。鉴于攻击面范围较大，安全专业人员必须将保护云原生架构安全作为目标。 | 云原生安全现状|2023年6 云原生企业中的应用速度 三分之二的企业表示，部署频率在过去一年中有所增加或显著增加，38%的企业每天将代码部署到生产中或发布给最终用户，17%的企业每天进行多次部署。 三分之一的企业报告称，他们的内部SLO（服务级目标）是在不到一天的时间内完成变更，38%的企业预计服务将在一天内恢复。 68%的调查受访者报告称部署频率有所增加。此外， 64%的受访者还报告称变更准备时间增加。 代码部署频率 17% 点播 38% 每天 77% 每周 图6.2023年将代码部署到生产中或发布给最终用户的频率 部署频率和变更的准备时间衡量速度。因此，如果企业没有实现并维持其速度性能目标，则可能表明DevOps流程效率低下。这两个领域的增长可能表明，随着应用速度提高，安全专业人员（安全专业人员与开发人员的比例是10:1）所面临的压力正在产生消极影响。 我们进一步研究了结构灵活的企业如何应对这些变化，特别是部署频率及其在过去12个月的变更准备时间。 在云原生企业中，超过60%的企业报告称去年的部署频率有所增加。在同一时期，只有48%的企业报告称变更准备时间有所增加。 总计 云原生 非云原生 过去12个月的部署频率变化 提升 保持不变 减少 图7.2023年过去12个月的部署频率变化 7 迁移到云的5大挑战 1 技术复杂性 2缺乏人才和/或咨询服务 3维护全面安全性 4缺乏对服务和提供商的了解 5满足合规性要求 77% 的企业都在努力确定 实现目标所需的安全 工具。 76% 的受访者称他们使用的 云安全工具数量制造了 盲点。 云原生安全现状|2023年 云采用和扩展的阻碍 过度使用工具会导致云环境过于复杂。 虽然应用和工作负载云迁移率很高，但增长率与去年相比略有降低。部分原因在于当前的宏观经济条件。提到企业在迁移到云过程中面临的挑战时，他们给出的前五个回答往往与财力无关。事实上，从2020年开始，预算仅增加了两个百分点。与三年前相比，最大的变化是报告中提到的“缺乏人才”，该比例增加了11个百分点。 有趣的是，排在前五的问题与排在第一位的技术复杂性问题有着千丝万缕的联系。复杂的环境需要更高水平的人才以及针对不断变化的技术的适应能力，因此更难实施保护及获得可视性，并会导致出现更大的合规性挑战。 在查看高管层和非高管层的回应时，发现相较于非高管层受访者（即从业人员受访者），高管层认为缺乏人才或缺少咨询服务是他们面临的更大挑战，而非高管层受访者则认为技术复杂性是云迁移面临的更大挑战。 3 平均而言，企业依赖30多种工具来实现整体安全，并利用6到10种专属工具来实现云安全。超过75%的云原生安全状况调查受访者表示，他们使用的云安全工具数量造成了盲点，影响了他们确定风险优先级和抵御威胁的能力。为什么要使用这么多工具？这是因为77%的企业都在努力确定实现目标所需的安全工具。 碍着他们的云迁移工作。 复杂性似乎对确保安全性造成了阻碍，这是一个问题。超过60%的受访企业已经在云环境中运营了三年或更长时间，但是技术复杂性和维持全面安全性仍然阻 3PaloAltoNetworks网络的后续措施 90% 90%的企业无法在一小时内检测、 控制和解决网络威胁。 云原生安全现状|2023年8 对于安全团队的影响 由于漏洞和错误配置向上游移动，新的应用级风险随之出现。 五个重