信息來源：安全內(nèi)參

隨著企業(yè)組織不斷擴(kuò)大對(duì)云計(jì)算的使用，其所面臨的云安全威脅也更加嚴(yán)峻，同時(shí)隨著云服務(wù)不斷升級(jí)，虛擬身份的出現(xiàn)，云上權(quán)限管理難度也成指數(shù)級(jí)增長(zhǎng)。企業(yè)該如何應(yīng)對(duì)不斷增長(zhǎng)的云計(jì)算安全挑戰(zhàn)？

為探索云安全的發(fā)展現(xiàn)狀，研究機(jī)構(gòu)Forrester Consulting公司近日對(duì)154名北美地區(qū)IT團(tuán)隊(duì)負(fù)責(zé)人進(jìn)行了一項(xiàng)調(diào)查，調(diào)查發(fā)現(xiàn)：

1、受訪者普遍認(rèn)為企業(yè)需要實(shí)施與業(yè)務(wù)云化發(fā)展相匹配的安全解決方案，特別是在身份認(rèn)證和權(quán)限管理領(lǐng)域，需要更加智能的云身份治理（cloud identity governance，CIG）方案和云基礎(chǔ)設(shè)施授權(quán)管理方案（cloud infrastructure entitlements management，CIEM）；

2、有56%的受訪者表示，在機(jī)器設(shè)備和其他非人類身份的影響下，云上身份安全認(rèn)證管理變得越來越難；同時(shí)，有74%的受訪者表示，對(duì)其現(xiàn)有的云身份管理并不滿意，為了保證企業(yè)在云上的進(jìn)一步拓展和云環(huán)境的安全，需要建立新的身份認(rèn)證和訪問控制方案；

3、在云中配置多個(gè)單獨(dú)運(yùn)行的安全解決方案并不能提高安全防護(hù)能力，企業(yè)仍然面對(duì)著安全隱患；

4、通過AI自動(dòng)化流程，將CIG/CIEM方案與關(guān)鍵云平臺(tái)進(jìn)行集成，能夠讓企業(yè)業(yè)務(wù)在云中更為安全可靠的運(yùn)轉(zhuǎn)。

云平臺(tái)的重要性持續(xù)升級(jí)

調(diào)查顯示，云平臺(tái)對(duì)企業(yè)數(shù)字化業(yè)務(wù)開展和應(yīng)用的重要性進(jìn)一步升級(jí)。幾乎所有受訪企業(yè)都在云平臺(tái)上運(yùn)行了不同應(yīng)用程序或工作負(fù)載，從面向外部客戶的Web、應(yīng)用程序到面向內(nèi)部的軟件開發(fā)平臺(tái)和工具，其數(shù)量總和平均為6種。這些在云平臺(tái)中運(yùn)行的應(yīng)用程序和工作負(fù)載詳細(xì)類別如下：66%為面向客戶的Web和移動(dòng)應(yīng)用程序；62%為物聯(lián)網(wǎng)應(yīng)用；62%為數(shù)據(jù)庫應(yīng)用程序/記錄系統(tǒng)；60%為中間件和基礎(chǔ)設(shè)施；60%為容器/無服務(wù)器開發(fā)平臺(tái)。

企業(yè)目前在云平臺(tái)中運(yùn)行的應(yīng)用程序/工作負(fù)載類型

此外，近25%的受訪者表示他們正在加速執(zhí)行云遷移計(jì)劃；76%的受訪者認(rèn)為對(duì)云平臺(tái)規(guī)模的調(diào)整和擴(kuò)展是保證企業(yè)穩(wěn)定發(fā)展的關(guān)鍵驅(qū)動(dòng)因素，且云的重要性未來還將進(jìn)一步提升。

安全解決方案類別各異

雖然調(diào)查顯示，平均每個(gè)企業(yè)都會(huì)選用6種不同的工具或方案來保護(hù)云環(huán)境安全，但是企業(yè)卻缺少一個(gè)統(tǒng)一的、能夠滿足所有安全性和功能性需求的解決方案，這也表明IT團(tuán)隊(duì)只能根據(jù)企業(yè)云上環(huán)境的不斷發(fā)展變化，在出現(xiàn)問題時(shí)盡力選用針對(duì)新問題的解決方案，自發(fā)的將這些新老工具、方案集成在一起形成一組臨時(shí)的安全套件。

當(dāng)被問及 “企業(yè)目前正在使用哪些工具來確保公有云環(huán)境的安全？”時(shí)，55%的受訪者表示采取了CIG/CIEM方案作為其安全防護(hù)策略的一部分；57%的受訪者表示正在使用安全分析和威脅情報(bào)工具；53%的受訪者正在使用密鑰管理、加密技術(shù)和數(shù)據(jù)憑證化（Tokenization）工具；52%的受訪者正在使用具有AI驅(qū)動(dòng)響應(yīng)功能的云威脅監(jiān)控和管理工具；51%的受訪者在使用云平臺(tái)服務(wù)商原生安全控制工具；50%的受訪者在使用云訪問安全代理（CASB）工具。這表明身份授權(quán)管理、訪問權(quán)限路徑管理和訪問控制是公認(rèn)的實(shí)現(xiàn)云環(huán)境安全的有效方案。

企業(yè)目前正在使用的公有云環(huán)境安全工具

79%的受訪者指出，隨著云平臺(tái)在企業(yè)工作負(fù)載中的應(yīng)用不斷增加，云工作負(fù)載配置的復(fù)雜性也隨之增強(qiáng)，企業(yè)也面臨著更嚴(yán)峻的安全風(fēng)險(xiǎn)挑戰(zhàn)。其中，有56%的受訪者表示，在機(jī)器設(shè)備和其他非人類身份的影響下，云上身份安全認(rèn)證管理變得越來越難；同時(shí)，有74%的受訪者表示，對(duì)其現(xiàn)有的云身份管理并不滿意，為了保證企業(yè)在云上的進(jìn)一步拓展和云環(huán)境的安全，需要建立新的身份認(rèn)證和訪問控制方案。

云環(huán)境安全指數(shù)與工具數(shù)量多寡無關(guān)

盡管企業(yè)目前正在使用多種工具來保護(hù)云環(huán)境安全，但有高達(dá)96%的受訪者表示，他們的企業(yè)在過去一年中曾發(fā)生過安全事件，對(duì)這些事件進(jìn)行詳細(xì)調(diào)查后發(fā)現(xiàn)：其中有54%是云環(huán)境下的內(nèi)部安全事件；54%是因安全事件上報(bào)問題而引發(fā)的合規(guī)、監(jiān)管制裁；49%是涉及公司業(yè)務(wù)合作伙伴和三方供應(yīng)商的事件；49%是由于涉及因云配置失誤而丟失數(shù)據(jù)；47%來自于針對(duì)公共云環(huán)境的外部攻擊；42%為內(nèi)部審計(jì)發(fā)現(xiàn)；38%為外部審計(jì)發(fā)現(xiàn)；僅有4%的受訪者表示沒有受到任何影響。

過去12個(gè)月內(nèi)，企業(yè)在云環(huán)境中經(jīng)歷的安全事件類別

如此眾多的安全事件調(diào)查數(shù)據(jù)表明，企業(yè)組織現(xiàn)階段的安全防護(hù)方案依舊有所欠缺，僅僅通過“新”工具堆疊在“舊”工具上的方法只能獲得有限的安全防護(hù)能力，各類安全威脅依然存在可乘之機(jī)。

CIG/CIEM方案實(shí)施面臨嚴(yán)峻挑戰(zhàn)

98%接受調(diào)查的IT團(tuán)隊(duì)負(fù)責(zé)人表示，他們面臨著如何將CIG/CIEM方案有效集成到云上的相關(guān)挑戰(zhàn)。具體原因?yàn)椋?5%的受訪者無法在公共云環(huán)境中集成和使用這些工具，進(jìn)而導(dǎo)致短期內(nèi)身份識(shí)別無法完成，并導(dǎo)致了無法識(shí)別的身份和虛擬身份的泛濫；41%的受訪者認(rèn)為過于復(fù)雜的訪問控制策略，讓云上的身份權(quán)限管控更加難以把控；40%受訪者認(rèn)為在監(jiān)管合規(guī)層面臨挑戰(zhàn)；40%的受訪者表示無法實(shí)現(xiàn)云平臺(tái)身份的可視化監(jiān)管，進(jìn)而無法滿足企業(yè)在云中不斷拓展變化的管理需求；還有40%的受訪者擔(dān)心一些云管理員的權(quán)限過高。

企業(yè)面臨哪些與CIG/CIEM相關(guān)的挑戰(zhàn)

人工智能成解決難題的有效助力

針對(duì)“企業(yè)云安全計(jì)劃的首要目標(biāo)是什么？”這一問題，50%的受訪者認(rèn)為應(yīng)采用更先進(jìn)的人工智能驅(qū)動(dòng)調(diào)查或行為檢測(cè)；47%受訪者表示應(yīng)為開發(fā)團(tuán)隊(duì)創(chuàng)造更快的創(chuàng)新路徑；45%受訪者表示應(yīng)實(shí)施有效地自動(dòng)化云安全流程；45%受訪者表示應(yīng)通過無縫訪問和登錄開發(fā)來提升員工使用體驗(yàn)；44%的受訪者表示應(yīng)采取安全容器和服務(wù)器工作負(fù)載基礎(chǔ)設(shè)施；41%的受訪者表示應(yīng)創(chuàng)建簡(jiǎn)潔的安全工具和技術(shù)生態(tài)系統(tǒng)來管理云環(huán)境。以上這些調(diào)查結(jié)果均指向一個(gè)趨同的目標(biāo)：IT團(tuán)隊(duì)負(fù)責(zé)人希望能事先預(yù)知風(fēng)險(xiǎn)并在事件發(fā)生時(shí)實(shí)現(xiàn)快速響應(yīng)。

企業(yè)云安全計(jì)劃的首要目標(biāo)

受訪者對(duì)CIG/CIEM解決方案寄予厚望

調(diào)查顯示，50%以上的受訪企業(yè)已經(jīng)開始實(shí)施CIG/CIEM解決方案，到2023年，其比例數(shù)據(jù)預(yù)計(jì)將上升為82%，因?yàn)镃IG/CIEM解決方案能夠威企業(yè)帶來諸多好處：

其中57%的受訪者認(rèn)為它能改進(jìn)和優(yōu)化企業(yè)合規(guī)管理；56%的受訪者認(rèn)為它能改善員工的使用體驗(yàn)；53%的受訪者認(rèn)為它能降低企業(yè)身份訪問管理系統(tǒng)的復(fù)雜性；51%的受訪者認(rèn)為通過它可以提高安全性和可見性；51%受訪者認(rèn)為它可以提供跨技術(shù)的、更好的身份訪問管理；還有51%的受訪者認(rèn)為它可以提高客戶粘性、增加新客戶的關(guān)注度和獲取機(jī)會(huì)。

CIG/CIEM 解決方案預(yù)計(jì)會(huì)為組織帶來的好處

此外，IT團(tuán)隊(duì)負(fù)責(zé)人認(rèn)為理想的CIG/CIEM解決方案至少要能滿足以下五種不同場(chǎng)景的功能需求：云原生加密秘鑰管理、云原生訪問密鑰管理、部署在云平臺(tái)上的即服務(wù)（PaaS）解決方案中的數(shù)據(jù)存儲(chǔ)、部署在云基礎(chǔ)架構(gòu)上的數(shù)據(jù)存儲(chǔ)和基礎(chǔ)架構(gòu)即服務(wù)（IaaS）的無服務(wù)器功能。

CIG/CIEM方案最受關(guān)注的功能是什么？

與所有關(guān)鍵云平臺(tái)實(shí)現(xiàn)集成，并執(zhí)行自動(dòng)權(quán)限撤銷和監(jiān)控任務(wù)是IT團(tuán)隊(duì)負(fù)責(zé)人在CIG/CIEM方案中最渴求的功能。具體調(diào)查數(shù)據(jù)顯示：

79%的受訪者將“用戶執(zhí)行有風(fēng)險(xiǎn)的活動(dòng)時(shí)自動(dòng)撤銷其權(quán)限”視為CIG/CIEM方案最重要的功能；78%的受訪者重視CIG/CIEM方案與各大公有云平臺(tái)深度集成的能力；77%的受訪者重視CIG/CIEM方案自動(dòng)監(jiān)控云部署的廣度；77%的受訪者重視CIG/CIEM方案能夠不斷更新最新云服務(wù)訪問權(quán)限的能力；76%的受訪者重視CIG/CIEM方案基于AI技術(shù)的異常檢測(cè)功能；75%的受訪者重視CIG/CIEM方案能夠自動(dòng)撤銷過多權(quán)限的功能。