您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。 [PRISMA CLOUD]:2023年云安全报告 - 发现报告
回到首页 AI 搜索 发现报告 发现数据
发现专题
专题报告 专题百科
研选报告 定制报告 VIP 权益 发现大使
行业研究公司研究宏观策略财报招股书会议纪要seedance2.0低空经济DeepSeekAIGC大模型

2023年云安全报告

2023-12-30 - PRISMA CLOUD 米软绵gogo
报告封面

2023年报告 唯一的恒定是变化 很少有人能像云安全专业人员那样与格言相关。 云安全是动态且不可预测的,但向混合工作的转变加速了改变并增加了应用程序安全性的复杂性。作为云原生应用程序发展不断发展,组织的云基础设施也是如此(80%的调查受访者表示他们的云基础设施正在发展)。更重要的是,云已经改变了应用程序生命周期,DevOps现在在warp交付生产代码速度和安全人员努力跟上。 今年调查中,超过75%的受访者正在部署新的或更新的代码每周生产,几乎40%的人每天提交新代码。再加上每个安全专业人员的十个开发人员的比例1,2以及潜在的挑战规模和复杂性不难理解。 与本地环境相比,云计算遵循共同的责任模型。基础架构(例如,计算、网络和存储)的责任是与云服务提供商(CSP)共同承担安全责任The CSP and their customers. But the sharing stopped when it comes to responsible for客户的应用程序、数据和访问管理。组织的安全性和开发团队拥有这一责任,必须协作才能成功保护他们的云环境。 要为这些团队提供所需的资源,有必要了解他们面临的挑战(无论是紧急的还是常年的),他们使用的解决方案,以及帮助他们履行职责的解决方案的有效性。 组织如何选择安全工具,以及这些工具是如何可操作的?哪些做法产生了最好的安全结果,哪些是阻碍努力?我们在我们的年度多行业中探索了这些问题和其他问题云原生安全状况调查。 我们发现了什么? 由于未解决的漏洞可以在生产中,捕获和修复这些至关重要应用程序开发早期的漏洞生命周期。我们的调查显示,引入的风险在应用程序开发的早期是# 1关注的问题。已知漏洞、嵌入式恶意软件和敏感数据,如机密或配置数据,是早期风险的一些例子。抓住紧急上游的威胁,安全团队转向工具,如代码仓库扫描,软件组成分析(SCA)和注册表扫描。 左移安全正在加速。 决定工装有变得乌云密布复杂性。 被离散工具的激增所淹没选项,超过75%的受访者报告说他们的组织努力确定哪些安全工具可以帮助他们满足他们的需求。每个离散工具的数量和作用可以呈现操作头痛和进一步隔离孤岛,通常在组织的安全中造成盲点姿势。 与传统安全不同,云要求用户团结不同的团队围绕一个共同的目标。做这一点,组织需要有意识地打破孤岛。我们的调查显示81%的企业拥有嵌入式安全专业人员他们的开发和运营团队。从这里开始,组织必须在摩擦出现时保持协调并开发一种激发信心和不减慢DevOps进程down. 协作 跨团队是必不可少的更好的安全性结果。 TABLE OF CONTENTS 执行摘要i Introduction1企业如何迁移到云云原生企业中的应用速度云的复杂性267对安全团队的影响企业如何接近安全应用程序开发人员如何塑造安全性前进的道路812141517Recommendations 云原生的第三个年度状态 安全报告审查了不断发展的 安全实践、工具和技术世界各地的组织利用云的优势服务和新的应用程序技术堆栈。 从2022年11月21日至12月14日进行的调查数据来自包括美国、澳大利亚在内的七个国家的2500多名受访者,德国、法国、日本、新加坡和英国。 所有主要行业都包括在样本中,代表来自消费品和服务、能源资源和工业、金融服务、医疗保健、技术、媒体和电信。 超过50%的样本来自企业级组织(超过年收入10亿美元)。受访者在行政领导和行政领导之间平均分配从业者级别的角色,以广泛理解情感organizations. Practitioner - level respondents were restricted to those who从事开发、IT或信息安全工作。 所有受访者都报告自己知识渊博,熟悉他们的组织的云运营和云安全,并来自专业调查小组。 Palo Alto Networks与大多数女性的Fossicker Group合作-拥有的、提供全方位服务的研究公司,关于今年报告的所有要素,包括调查设计、实地考察、分析、叙述、数据可视化和报告设计。 云迁移 仍在成长 与过去几年类似,2023年的组织已经转向更多公共托管其云工作负载。 53%的云工作负载托管在公共云上,这一数字增加了8%。过去一年。平台即服务(PaaS)和无服务器是主要的应用程序执行环境。 从区域来看,我们没有发现公开托管的云工作负载的显著差异在北美(NAM)、亚洲、太平洋和日本(APJ)以及欧洲、中东、非洲(EMEA)。 是什么促使组织扩展到云? 首要原因是建立新的和扩展现有的产品和服务,其次密切关注提高效率和敏捷性的愿望。 但安全考虑继续阻碍企业应对风险的能力并利用云。 增加效率和敏捷性 创建新过程和工作流 扩展进入新市场 云迁移确实 不总是相等 与云本地 APPLICATIONS 云原生和提升和转移是最常用的两个将应用程序部署到云中的方法首选10%的利润率来重构或重建。 这是第一次云原生在应用程序开发。 云的部署在三个区域之间有所不同。NAM的比例较高与APJ和EMEA相比,云原生开发。APJ几乎平均分配在三种方法之间,EMEA的提升和转移百分比最高各地区。 超过三分之二报告更高 云TCO 预期 平均而言,组织花费的费用占其总成本的最大比例所有权(TCO)与应用程序迁移成本有关。 尽管如此,除一名受访者外,所有受访者都表示,他们将在未来扩展云。调查受访者报告称,自去年,预计未来24个月将进一步增长11%。 也许并不奇怪,更多的高管受访者认为TCO更高比预期的(70%)和从业者级别的受访者(63%)。与此相关,几乎60%的高管受访者表示,与之相比,安全成本高于预期不到50%的从业者。 在接下来的24个月里,受访者期望工作量增加11%移动到云。 现在趋势: # CLOUDMIGRATION 云迁移预计将继续,但这到底意味着什么?这取决于你问谁。 对于云架构师来说,云迁移意味着利用多种应用程序迁移方法,如提升和转移、重构和云原生开发。取决于时间表、预算、底层技术和公司合规性,每种方法都可以采取不同的路径。这些架构决策导致工作负载技术的混合运行应用程序,例如无服务器、容器(自托管或托管)、平台作为服务(PaaS)和虚拟机(VM)。VM仍然是托管工作负载,但无服务器和PaaS预计将进一步增长,因为70%以上的受访者表示,未来24个月的使用量预计会增加。 对于开发人员来说,迁移到云是采用DevOps和加速的机会事实上,77%的人正在将新的或更新的代码部署到每周生产,38%的人每天提交新代码。受访者报告在过去的12个月里,部署频率增加了67%,很明显从代码到云的驱动只是在加速。 对于安全专业人员来说,迁移到云的挑战不仅仅是应用程序和数据的迁移。用于构建、部署的现代架构和技术堆栈和运行应用程序需要一种采用应用程序感知工具的新方法,产品和方法。鉴于广阔的攻击面,确保云-本机架构必须是安全专业的目标。 中的应用速度 云企业 三分之二的企业表示部署频率在过去一年中增加或显著增加,38%的企业每天将代码部署到生产或发布给最终用户,17%的人每天部署多次。 三分之一的企业报告经营与内部SLO(服务级别目标)不到一天的更改时间,38%的预期服务恢复一天之内。 所有调查受访者中的68%报告部署频率增加。更重要的是,64%的人也报告增加了改变的时间。 部署频率和变化的提前期测量速度。因此,如果企业没有实现和维持他们的速度性能目标,这可能表明效率低下在DevOps过程中。这两个领域的增加可能表明安全专业人员(人数超过开发者10: 1)正在付出代价增加应用速度。 我们更进一步,看看企业是多么灵活响应变化,特别是部署频率及其领先优势过去12个月的变化时间。 在云原生企业中,超过60%的企业报告部署有所增加前一年的频率。在同一时期,只有48%的人报告铅增加改变的时间。 障碍物 前5大挑战移动到云 云采用 技术复杂性 和扩展 缺乏人才和/或咨询服务 过度使用工具导致过于复杂的云环境。 保持全面安全 尽管应用程序和工作负载云迁移率很高,但增长率略低于去年。其中一些可能是归因于当前的宏观经济状况。当被问到关于他们在迁移到云中所面临的挑战,组织给出的前五个答复不是财务上的related. In fact, budget only increased as a concerning by 2 points从2020年开始。与三年前相比,最大的变化关于“缺乏人才”的报道增加了11点。 缺乏能见度服务和提供商 会议合规性requirements 77% 有趣的是,五大担忧与顶级关注-技术复杂性。复杂环境需要更高水平的人才和适应能力不断变化的技术,更难以安全全面地,更难获得能见度,并且导致更大的合规挑战。 组织的斗争识别哪些安全工具:有必要实现他们的目标。 在查看C套件和非C套件响应时,C套件缺乏人才或咨询服务是一个更大的挑战比非高管受访者(也就是那些可能是实施者)认为技术复杂性更大云迁移的挑战。 平均而言,组织依靠30多种工具来实现整体安全性和六到十个专门用于云安全的工具。3向上75%我们的云原生安全状况调查受访者报告说,他们使用的云安全工具的数量创建盲点,影响他们优先考虑风险和防止威胁。为什么要使用这么多工具?告诉77%的组织努力找出什么安全工具是实现其目标所必需的。 76% 的受访者说云安全数量他们使用的工具创造盲目斑点。 复杂性似乎阻碍了安全,这是一个问题。超过60%的受访组织在云环境中运行三年或更长时间,但技术复杂性和维护全面安全仍然阻碍他们的云迁移工作。 对安全的影响 TEAMS 随着漏洞和错误配置向上游移动,新的应用程序-级别的风险正在出现。 在我们分析的五个安全指标中,不到四分之一受访者看到的结果与去年相似。在过去12个月,关键安全指标恶化。 五个关键的安全度量 平均时间检测 90%的受访者表示他们的组织不能在一小时内检测、遏制和解决威胁。关于对云资源中漏洞的可见性,超过30%的受访者表示,缺乏可见性造成了确保全面安全的挑战。而违反法规的行为排在最后,25%的组织仍然经历了重大的合规性违规。 平均时间补救 Number of违规 五大安全事件 在应用程序开发早期引入的风险 具有漏洞或恶意软件的工作负载映像 Number of入侵尝试 易受攻击的Web应用程序和API 工作负载之间无限制的网络访问 计划外停机时间 由于配置错误而导致的停机时间 不过,开发人员的左移责任是有限制的可以并且想要处理。 超过75%的受访者表示,开发人员对写作负责不安全的代码,超过80%的人表示他们理解他们的责任整个开发生命周期的安全性。安全性不是他们的主要责任。安全团队应该为开发团队提供他们需要的工具,根据80%的受访者。 组织在设计和实施云方面承担了很大的责任针对单个团队的安全策略和程序(78%)。但近一半(47%)的受访者报告说,他们的大多数员工不了解他们的安全责任。 最终,安全团队会在响应应用程序团队和确保云堆栈中包含多个层的日益复杂的云环境-基础架构、网络、虚拟机、容器、无服务器功能、数据、API、Web应用、代码、开源库等。 顶级挑战 提供 全面 SECURITY 跨团队管理整体安全性 打破孤岛并创建团队可以坚持的流程 The difference when it comes to comprehensive security. In addition to a云服务提供商和云用户之间的责任分担模型,组织内部还有另一种共同责任模式。开发、运营、安全团队和所有利益相关者应用程序开发生命周期分担责任。有效协作无论安全工具有多好,团队之间都很重要。其中之一今天的中心主题是左移安全。有效地走向上游和在部署需要一致的团队之前防止源漏洞和安全产品,对每个为应用程序做出贡献的成员都有价值开发生命周期。 在云原生开发

点击免费查看完整报告