日前，安全服務提供商McAfee公司對多個國家、行業(yè)和組織規(guī)模的1400名IT專業(yè)人員進行了調查，并得出結論認為，缺乏足夠的可見性和控制是組織中采用云計算的最大挑戰(zhàn)。但是，云計算的商業(yè)價值是如此引人注目，以至于一些組織正在為此努力前行。

[[228465]]

云服務幾乎無處不在

根據(jù)調查結果顯示，全球97%的IT專業(yè)人士正在使用某種類型的云服務。

公共云和私有云的結合是最流行的架構，59%的受訪者表示他們正在使用混合模式。雖然所有組織規(guī)模的私有云使用情況相似，但混合使用情況隨著組織規(guī)模的增長而穩(wěn)步增長。

大多數(shù)(83%)組織將部分或全部敏感數(shù)據(jù)存儲在公共云中。存儲的數(shù)據(jù)類型涉及各種敏感和機密信息：

• 個人客戶信息(61%)
• 內(nèi)部文件、支付卡信息、個人員工數(shù)據(jù)或政府組織識別數(shù)據(jù)(約40%)
• 知識產(chǎn)權、醫(yī)療記錄、競爭情報和網(wǎng)絡通行證(約30%)。

云優(yōu)先是一項IT策略，指出新項目應首先考慮使用云計算技術，而不是本地服務器或軟件。調查報告表明，云優(yōu)先是許多公司對IT的戰(zhàn)略，并且仍然是主要目標。由于采用云優(yōu)先戰(zhàn)略的組織數(shù)量從今年的82%下降到今年的65%，因此越來越多的企業(yè)對此采取謹慎的態(tài)度。盡管如此，采用云優(yōu)先戰(zhàn)略的受訪者仍然認為公共云比私有云更安全。他們了解風險，但他們知道的越多，IT專業(yè)人士就越自信，云優(yōu)先是他們想要的課程。

安全事件和技能短缺

根據(jù)調查，使用IaaS、PaaS或SaaS服務的四分之一組織的數(shù)據(jù)被竊取，五分之一的企業(yè)遭受了針對其公共云基礎設施的高級攻擊。

隨著歐盟的一般數(shù)據(jù)保護條例(GDPR)將在2018年5月實施，組織將加強合規(guī)工作。對云計算提供商能力更有信心的組織更有可能計劃在未來一年增加其整體云投資，而那些不那么自信的人則計劃將他們的投資保持在目前的水平。平均來看，只有不到10%的受訪者預計由于GDPR法規(guī)的實施將會減少他們的云計算投資。

惡意軟件仍然是各類組織的關注點，56%接受調查的專業(yè)人士表示他們已將惡意軟件感染追蹤到云計算應用程序。當詢問惡意軟件是如何提供給組織的時候，25%的受訪者表示，他們的云計算惡意軟件感染是由網(wǎng)絡釣魚引起的，緊隨其后的是來自發(fā)件人的電子郵件、惡意軟件的下載和驅動下載。

網(wǎng)絡安全技能的短缺及其對云采用的影響持續(xù)減少，表示技術短缺的人士從15%增加到24%。那些仍在表示技能短缺的人中，僅有40%的人因為采用云計算而減少了收入，而去年則為49%。那些表示技能嚴重短缺的人的云采用率最高。

最佳實踐和建議

根據(jù)調查結果，所有組織應該積極努力的有三個最佳實踐：

• DevOps和DevSecOps已被證明可以提高代碼質量，并減少漏洞。在業(yè)務部門或應用程序團隊中集成開發(fā)、質量保證和安全流程對于以當今商業(yè)環(huán)境需求的速度運行至關重要。
• 即使是最有經(jīng)驗的安全專業(yè)人員也很難跟上云計算部署的規(guī)模和速度。利用機器優(yōu)勢(例如Chef、Puppet或Ansible等工具中的增強功能)增強人力優(yōu)勢的自動化是現(xiàn)代IT運營的基本組成部分，它與云應用并無二致。
• 多種管理工具使事情變得過于容易。跨多個云的統(tǒng)一管理平臺具有開放的集成結構，降低了成本和復雜性，并增加了安全性。