2024 年云原生安全报告

云原生安全的现状 2023年，敏捷开发、开源软件和云原生技术的发展势头十分强劲，而针对应用层的攻击也成了一种必然趋势。云原生生态系统面临着供应链攻击激增的问题，这表明开源软件和第三方库中普遍存在的漏洞。我们的Unit42团队分析的真实世界数据坐实了这种局面，将云确定为主要的攻击面，80%的中度、高度和严重暴露都存在于云托管资产中。1 执行摘要 回顾过去的一年 在开始探讨2024年云原生安全现状时，我们首先回顾一下2023年发生的事件以及产生的影响，这些事件和影响都与我们当前的态势、我们面临的挑战以及我们为实现预期成果而选择的战略息息相关。 一段时间以来，我们一直将应用程序和基础设施的安全放在首位。但是，我们不能忘记第三个悬而未决的重要因素。2023年，全球数据空间达到120ZB，2因此确保敏感数据的安全仍然至关重要。然而，监测和控制敏感信息所面临的挑战已经升级。 云安全与我们努力实现的其他目标一样，都是一种业务目标。 但挑战对我们来说并不陌生。可以说，生成式人工智能就像云技术一样，已经成为一种主流。我们将以责任意识和安全优先为原则，越来越多地挖掘其强大力量。 更重要的是，2023年，生成式人工智能横空出世，成为了一种突破性技术，它有可能将开发时间和成本减半，最终重新定义应用经济。3但就像云技术及其无数好处与我们必须解决的挑战密不可分一样，作为一种开发工具，生成式人工智能也伴随着令人担忧的问题。就在我们刚刚开始思考潜在的问题时，OWASP就面向安全团队发布了十大LLM安全风险，提醒我们注意提示词注入、不安全的输出处理，以及供应链漏洞和敏感信息泄露的新途径。 展望未来，当我们在追求目标的道路上不断前进时，我们确信一件事—云安全与我们努力实现的任何其他目标一样，都是我们的业务目标。 3生成式人工智能的经济潜力|麦肯锡 在与时间的赛跑中，做好充分准备才是游戏的奥义。除了时间的束缚，几乎听不到云安全从业者谈论其他痛点。毕竟，他们在与以机器速度移动的攻击者竞争识别漏洞的同时，还要被大量警报淹没，手动整理来自分散工具的数据。 简介 有备无患，时不我待 在今年的云原生安全现状调查中，90%的受访者希望更好地确定风险优先级，这是可以理解的。超过90%的人表示，自己使用的单点工具数量过多，造成了盲点，影 响 了 确 定 风 险 优 先 级 和 防 范 威 胁 的 能力。62%的安全从业人员希望获得方便使用的安全解决方案，每3位受访者中就有1位认为技术的快速变化是导致攻击面扩大的主要障碍。 预测威胁并调整战略可以确保复杂云环境中的恢复能力。 多云到底有多少？企业平均利用12家云服务提供商(CSP)为其部署的应用程序提供SaaS、IaaS和PaaS服务。再加上平均使用16种云安全工具，这凸显了安全团队必须驾驭错综复杂的生态系统。98%的共识强调了减少安全工具数量的重要性，从简化和整合的角度定义了如何准备就绪。 企业平均利用 12家云服务提供商。 各企业正在采取哪些措施来满足数据安全和快速部署的需求？ 各企业在哪些方面遇到了挑战？ 企业如何在安全和开发团队之间架起桥梁？ 各企业在哪些方面遇到了挑战？ 企业应对人工智能相关安全风险的准备情况如何？ 是否将解决方案纳入其业务框架？ 源源不断的问题，例如与人工智能生成的代码和未管理的API相关的安全风险，加上访问管理不完善和攻击面不断扩大等传统挑战，凸显了云安全威胁不断变化的本质。各企业正在重新思考其战略，许多企业强调需要进行根本性变革，从一开始就增强云安全性。要为安全和DevOps团队配备必要的资源，了解大局至关重要。 各企业正在采取哪些措施来有效保障数据安全并满足快速部署的需求？各企业在哪些方面遇到了挑战？企业如何在安全和开发团队之间架起桥梁？企业应对人工智能相关安全风险的准备情况如何？如何有效地将解决方案整合到业务框架中？ 我们一年一度的多行业调查旨在回答这些问题以及更多问题，深入探索塑造云原生安全未来的最佳实践。 要点 2024年调查发现 当 被 问 及 如 果 是 首 次 迁 移 到云，他们会采取哪些不同的做法时，50%的受访者表示会花更多时间重构应用程序，而不是在迁移时只做最小的改动。 人们正在重新思考自己的直接迁移部署。 我们的调查显示，将工作负载转移到云端但未针对云端进行优化的企业，其总体拥有成本较高，这也印证了上述观点。更重要的是，他们的应用程序并没有获得云技术闻名遐迩的灵活性和可扩展性优势。 当安全被视为一种障碍时，压力就会很大。 86%的受访者认为，安全是阻碍软件发布的一个制约因素。 71%71% 48%48% 近一半的受访者或多或少都经历过重大发布延迟。 强调了与加快上市进度相关的风险，71%的受访者将仓促部署归咎于安全漏洞，突出了快速开发的需要与维护安全的必要性之间的紧张关系。 52%52% 52%的受访者认为DevOps与SecOps之间的冲突是压力的重要来源。 人工智能生成的代码比人工智能辅助的攻击更令人担忧。 超过五分之二(43%)的安全专业人士预测，人工智能驱动的威胁将避开传统检测技术，成为更常见的威胁载体。 38% 38%的受访者将人工智能驱动的攻击列为首要的云安全问题。 对人工智能生成的代码带来的风险更加担忧。 是的，据称所有受访者都接受人工智能辅助编码。 执行摘要：回顾过去的一年简介：有备无患，时不我待2024年调查发现要点云经济：全球视角从探索到云原生创新规划传统应用程序的成本优化平衡工具、供应商和企业需求云安全的首要关注点事故响应：与时间赛跑保护云中敏感数据的安全有什么不同的做法？人为因素风险、现实和云安全战略拥抱未知：人工智能对应用程序生命周期的影响保护云安全的建议246111316182125283134374043 目录 我们的研究样本涵盖了主要行业部门，其中包括 消 费 品 和 服 务 、 能 源 资 源 和 工 业 、 金 融 服务、医疗保健、技术、媒体和电信。 超过50%的样本来自企业规模的组织（年收入超过10亿美元）。 调查参与者中既有高管领导，也有从业人员，涵盖了各企业的广泛观点。从业人员级别的参与者具体来自开发、信息技术或信息安全职能部门。 第 四 年 《 云 原 生 安全 现 状 报 告 》 对 全球 企 业 为 利 用 云 服务 和 新 的 应 用 技 术堆 栈 而 采 用 的 安 全实 践 、 工 具 和 技 术进行了考察。 所 有 受 访 者 都 表 示 自 己 对 企 业 的 云 业 务 和 云安 全 状 况 了 如 指 掌 ， 并 且 数 据 来 源 于 专 业 调查小组。 PaloAltoNetworks与WakefieldResearch合作进行了我们的调查。 调查于2023年12月20日至2024年1月17日进行，收集了来自澳大利亚、巴西、法国、德国、印度、日本、墨西哥、新加坡、英国和美国共10个国家2800多名受访者的数据。 全球各企业对云基础设施、服务和运营效率 进 行 了 大 量 投 资 ， 希 望 推 动 数 字 化 转型和扩张。总体趋势显示，云计算支出激增，50%以上的企业每年在云服务上的投资超过1000万美元。这种将云技术融入业务运营各个方面的做法表明，随着企业追求更高的敏捷性、可扩展性和创新性，投资趋势即使不会加速，也会持续下去。 云经济 全球视角 在各个地区，云计算投资趋势都肯定了云计算的战略意义。 与拥有“初级基础设施”的企业相比，自称“广泛集成”或“完全原生环境”的企业倾向于在云技术上投入更多。例如，在英国，32%投资不足1000万美元的企业处于探索云计算的初始阶段，而76%投资1000万美元或以上的企业已经实现了广泛的云计 算 集 成 。 这 种 局 面 在 各 地 区 都 是 一 致的，表明随着企业在云计算领域的发展日趋成熟，云计算支出也在增加，这很可能是由于采用了更先进的云服务和架构，以及规模的扩大。 在各地区之间，我们看到了细微但有说服力的差异。澳大利亚、墨西哥和新加坡在较高的投资区间内表现出强劲的云计算支出，而美国和英国则继续在中等范围内进行大量投资。法国和德国的云计算支出模式显示出成熟而谨慎的态度，大部分投资都在900万欧元到4600万欧元之间。 相比之下，在巴西、印度和日本等新兴市场中，投资额低于1,000万美元的企业比例较高，分别为40%、41%和43%。除了云计算的成熟度之外，这一趋势还可能反映出这些地区中小型企业的增多以及保守的支出战略。 从探索到云原生创新 云计算的成熟度不仅限于技术的采用，而是既反映了一个企业的文化、流程以及驾驭云计算实现业务转型的能力，又对其产生了影响。在今年的调查受访者中，成熟度 涵 盖 针 对 特 定 项 目 使 用 基 本 云 基 础 设施，以及广泛集成和完全原生云环境。 云计算之旅不是线性的。这是一个适应、学习和转型的连续过程，由战略投资、成熟度、部署方法和运营效率共同决定。 在这一范围内，我们看到应用程序部署方法之间的相关性。 对直接迁移的部署偏好(35%)与许多企业在云迁移过程中采取的务实方法相一致。虽然云原生和重构部署可带来长期效益，但最初关注快速、低干扰迁移一直是一种约定俗成的方法。 经验丰富的企业转向云原生 从直接迁移开始的企业通常会通过重构发展到云原生开发，从寻求速赢发展到拥抱云优先战略，以提高性能、可扩展性和成本效益。我们的调查证实了这一趋势，在使用云技术3年或以上的企业中，云原生部署取代直接迁移的比例为36%。 从各地区的成熟度趋势来看，澳大利亚(26%)、新加坡(26%)和美国(24%)的成熟度较高，各有约四分之一左右拥有完全云原生的环境。法国和德国紧随其后，分别为17%和14%。 随着企业深化云投资，他们也在不断改进应用程序的部署方法。 规模较大的企业更倾向于采用先进的部署方法，这可能是由于他们拥有更多的资源、复杂的要求以及对创新的战略关注。 规划传统应用程序的成本优化 大多数受访者（全球67%）表示，用于传统应用程序现代化的支出占其云总体拥有成本(TCO)的10%到30%。在24%的企业中，成本飙升超过30%，这凸显了平衡运营连续性和追求创新的必要性。 30%的云计算成本用于改造传统应用程序。 传统应用程序的现代化消耗了云计算总体拥有成本的很大一部分，强调了战略性云迁移规划的重要性。 45%的受访者表示，应用程序架构问题耗费了太多时间。 传统应用程序现代化方面的巨额支出突出表明，云迁移项目需要进行战略规划。各企业应评估哪些应用程序适合直接迁移，哪些应用程序需要重构或完全重新开发，以优化成本和效益。安全和合规方面的挑战使得这一点尤为重要，因为旧的应用程序在设计时可能根本就没有考虑到云原生安全。 在地区差异方面，拉丁美洲、日本和亚太地区有更高比例的受访者（分别为29%和26%）将30%或更多的云计算总体拥有成本用于传统应用程序的优化。印度尤为突出，42%的受访者表示，他们的云计算总体拥有成本中有30%或更多用于面向云端优化传统应用程序。当被问及为什么开发人员的时间被挪用到解决错误和代码漏洞时，45%的人将原因归咎于应用程序架构。 平衡工具、供应商和企业需求 由于平均使用16种云安全工具，因此98%的受访者认为必须减少这一数字，这一点也不足为奇。几乎同样多的人(97%)希望减少与自己合作的供应商（平均为14家）。 以这样或那样的形式承担复杂性是每年出版的《云原生安全现状报告》中反复出现的主题。迄今为止，我们还没有看到这方面 取 得 进 展 的 迹 象 。 事 实 上 ， 专 用 于 云安 全 的 工 具 数 量 比 去 年 的 调 查 结 果 增 加了60%。然而，对于经常面对复杂性的人来说，解决复杂性问题的动力是发自内心的。 众所周知，云是模糊的。这里增加一个云服务提供商(CSP)，那里增加一个安全工具。生态系统不断延伸，再延伸。复杂性始终如影随形。 98%98