大多數(shù)云遷移被發(fā)現(xiàn)倉促進(jìn)行,采用者低估了相關(guān)風(fēng)險

責(zé)任編輯:cres

作者:Sharma

2023-11-07 16:32:00

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

在接受調(diào)查的安全領(lǐng)導(dǎo)者中,超過一半的人不了解轉(zhuǎn)向云計算帶來的安全風(fēng)險。

一項關(guān)于云原生安全現(xiàn)狀的新研究發(fā)現(xiàn),相當(dāng)多的云采用者不了解將傳統(tǒng)應(yīng)用程序遷移到云的安全風(fēng)險,從而使自己面臨許多基于云的攻擊。
 
這項由網(wǎng)絡(luò)安全公司Venafi開展的研究調(diào)查了美國、英國、德國和法國四個國家中的800名安全和IT負(fù)責(zé)人,這項研究旨在檢查當(dāng)前云原生安全面臨的主要威脅和挑戰(zhàn)。
 
Venafi的報告稱:“應(yīng)用程序開發(fā)團(tuán)隊的行動越來越快,以保持其業(yè)務(wù)的領(lǐng)先地位,轉(zhuǎn)向容器化和微服務(wù)等戰(zhàn)略,這些戰(zhàn)略使快速的應(yīng)用程序增強(qiáng)成為現(xiàn)實。在許多情況下,云原生安全是落后的,并且?guī)缀醪磺宄l應(yīng)該在工程、平臺和開發(fā)團(tuán)隊中負(fù)責(zé)安全職能。”
 
報告指出,當(dāng)涉及到保護(hù)機(jī)器身份時,這種缺乏清晰度是一個巨大的問題。機(jī)器身份是保護(hù)容器集群內(nèi)通信和連接的驗證器,因為它們是云原生安全的基礎(chǔ)。
 
報告補(bǔ)充道:“盡管機(jī)器身份相對重要,但機(jī)器身份在云原生實施中的應(yīng)用——如服務(wù)網(wǎng)絡(luò)、軟件供應(yīng)鏈安全和開發(fā)產(chǎn)品的代碼簽名——往往被誤解。”
 
倉促采用云會帶來成本和安全影響
 
研究中的受訪者透露,他們正在迅速轉(zhuǎn)向云計算,以消除漫長的應(yīng)用程序開發(fā)和發(fā)布周期,因為他們負(fù)擔(dān)不起等待關(guān)鍵新功能的代價,87%的受訪者表示,他們已將傳統(tǒng)應(yīng)用程序遷移到云。
 
然而,在理解這一過渡的安全影響方面存在很大差距,超過一半(59%)的受訪者表示,他們不了解將傳統(tǒng)應(yīng)用遷移到云所帶來的安全風(fēng)險,另有53%的人承認(rèn)剛剛升級并遷移到云端,大部分應(yīng)用程序代碼保持不變。
 
盲目地遷移到云端的另一個缺點是與遷移相關(guān)的成本。報告稱:“自從將遺留應(yīng)用程序遷移到云端以來,52%的用戶遭受了云端擴(kuò)張和賬單沖擊。在那些受云蔓延和賬單沖擊影響的用戶中,有77%重新考慮將應(yīng)用轉(zhuǎn)移到云端。”
 
注意到的另一個關(guān)鍵趨勢是,云計算的競爭使容器化成為開發(fā)者的流行選擇,84%的受訪者認(rèn)為Kubernetes很快就會成為開發(fā)所有應(yīng)用程序的主要平臺。隨著Kubernetes使用的增加和成熟,云原生策略的復(fù)雜性變得更加明顯。
 
Kubernetes帶來更多挑戰(zhàn)
 
受訪者同意在采用Kubernetes方面存在一定程度的不確定性,75%的受訪者認(rèn)為Kubernetes和容器的速度和復(fù)雜性造成了新的安全盲點。
 
遷移到容器化的其他關(guān)鍵問題包括應(yīng)用補(bǔ)丁程序的困難(43%)、錯誤配置導(dǎo)致的漏洞(41%)、證書管理不善導(dǎo)致的停機(jī)(32%)以及安全審核失敗(22%)。
 
59%的受訪者表示,他們在Kubernetes或容器環(huán)境中遇到了安全問題,導(dǎo)致這些問題的主要原因包括網(wǎng)絡(luò)違規(guī)(42%)、API漏洞(41%)和證書配置錯誤(39%)。
 
證書配置錯誤——一種機(jī)器身份挑戰(zhàn)——在美國被證明是一個更嚴(yán)重的問題,占45%。此外,68%的受訪者說,開發(fā)商有時不使用證書,因為發(fā)放證書會增加開發(fā)商流程的摩擦。
 
盡管伴隨著機(jī)器身份識別帶來的挑戰(zhàn),88%的受訪者表示,他們認(rèn)為機(jī)器身份的概念對于零信任模式的成功至關(guān)重要,然而,機(jī)器身份管理的所有權(quán)仍然不清楚,74%的人擔(dān)心開發(fā)人員面臨幾個相互沖突的優(yōu)先事項的挑戰(zhàn),因此安全并不總是首要考慮的問題。
 
關(guān)于企業(yè)網(wǎng)D1net(m.r5u5c.cn):
 
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號