日前,安全服務提供商McAfee公司對多個國家、行業和組織規模的1400名IT專業人員進行了調查,并得出結論認為,缺乏足夠的可見性和控制是組織中采用云計算的最大挑戰。但是,云計算的商業價值是如此引人注目,以至于一些組織正在為此努力前行。
采用公共云的四分之一組織的數據被盜
云服務幾乎無處不在
根據調查結果顯示,全球97%的IT專業人士正在使用某種類型的云服務。
公共云和私有云的結合是最流行的架構,59%的受訪者表示他們正在使用混合模式。雖然所有組織規模的私有云使用情況相似,但混合使用情況隨著組織規模的增長而穩步增長。
大多數(83%)組織將部分或全部敏感數據存儲在公共云中。存儲的數據類型涉及各種敏感和機密信息:
個人客戶信息(61%)
內部文件、支付卡信息、個人員工數據或政府組織識別數據(約40%)
知識產權、醫療記錄、競爭情報和網絡通行證(約30%)。
云優先是一項IT策略,指出新項目應首先考慮使用云計算技術,而不是本地服務器或軟件。調查報告表明,云優先是許多公司對IT的戰略,并且仍然是主要目標。由于采用云優先戰略的組織數量從今年的82%下降到今年的65%,因此越來越多的企業對此采取謹慎的態度。盡管如此,采用云優先戰略的受訪者仍然認為公共云比私有云更安全。他們了解風險,但他們知道的越多,IT專業人士就越自信,云優先是他們想要的課程。
安全事件和技能短缺
根據調查,使用IaaS、PaaS或SaaS服務的四分之一組織的數據被竊取,五分之一的企業遭受了針對其公共云基礎設施的高級攻擊。
隨著歐盟的一般數據保護條例(GDPR)將在2018年5月實施,組織將加強合規工作。對云計算提供商能力更有信心的組織更有可能計劃在未來一年增加其整體云投資,而那些不那么自信的人則計劃將他們的投資保持在目前的水平。平均來看,只有不到10%的受訪者預計由于GDPR法規的實施將會減少他們的云計算投資。
惡意軟件仍然是各類組織的關注點,56%接受調查的專業人士表示他們已將惡意軟件感染追蹤到云計算應用程序。當詢問惡意軟件是如何提供給組織的時候,25%的受訪者表示,他們的云計算惡意軟件感染是由網絡釣魚引起的,緊隨其后的是來自發件人的電子郵件、惡意軟件的下載和驅動下載。
網絡安全技能的短缺及其對云采用的影響持續減少,表示技術短缺的人士從15%增加到24%。那些仍在表示技能短缺的人中,僅有40%的人因為采用云計算而減少了收入,而去年則為49%。那些表示技能嚴重短缺的人的云采用率最高。
最佳實踐和建議
根據調查結果,所有組織應該積極努力的有三個最佳實踐:
DevOps和DevSecOps已被證明可以提高代碼質量,并減少漏洞。在業務部門或應用程序團隊中集成開發、質量保證和安全流程對于以當今商業環境需求的速度運行至關重要。
即使是最有經驗的安全專業人員也很難跟上云計算部署的規模和速度。利用機器優勢(例如Chef、Puppet或Ansible等工具中的增強功能)增強人力優勢的自動化是現代IT運營的基本組成部分,它與云應用并無二致。
多種管理工具使事情變得過于容易。跨多個云的統一管理平臺具有開放的集成結構,降低了成本和復雜性,并增加了安全性。