一項調查表明，基于云計算的業務計劃正在加速實施，而企業的安全團隊需要以更快的速度跟上云采用的步伐。

[[272965]]

根據網絡安全管理廠商FireMon公司日前發布的2019年混合云安全狀態的調查報告表明，受訪的信息安全專業人士中有60%的人表示，企業對云計算的采用超過了其安全團隊跟上這些應用安全步伐的能力。

調查結果強調了這樣一個事實，即云計算業務計劃的速度阻礙了受訪者保護和管理混合云環境的能力，但企業的安全人員通常不會參與云計算業務計劃。

400名信息安全專業人員參與了這個調查，旨在揭示企業擴展混合云計劃時安全性和網絡專業人員面臨的挑戰。大多數受訪者位于北美地地區(74%)，其次是亞太地區(12.6%)、歐洲、中東和非洲(10.1%)，以及拉丁美洲(3.3%)。

調查發現，只有56%的受訪者表示網絡安全、安全運營或安全合規團隊需要對云安全負責。在剩余的44%的案例中，IT和云計算團隊、應用程序所有者或安全組織以外的其他團隊需要對云安全負責。

同樣，安全性與DevOps之間的關系在不同組織之間是不一致的，調查報告稱，隨著更多的企業在云中部署“即服務”模型，這可能會對云計算的安全控制的一致性產生負面影響。

在某些情況下，DevOps和安全性完全一致，并且可以很好地協同工作，但在其他情況下，這種關系很難維持。近40%的受訪者表示他們同時使用基礎設施即服務(IaaS)、平臺即服務(PaaS)和軟件即服務(SaaS)模型。

雖然30.7%的受訪者表示他們是DevOps團隊的一員，但作為新興DevSecOps趨勢的一部分，30%的受訪者表示他們與DevOps的關系復雜、有爭議、不值得一提或根本不存在。

調查發現，企業通過在內部部署多個系統以及跨多個私有云和公共云部署無意中將復雜性引入其環境。由于缺乏管理和保護混合云環境所需的集成工具和培訓，這將變得更加復雜。

受訪者還指出，缺乏整合工具，缺乏合格人員或使用工具的培訓不足，這是實現跨環境安全管理的主要障礙。

雖然59%的受訪者表示他們在自己的環境中使用兩種或更多種不同的防火墻，67%的受訪者表示，他們也在使用兩種或更多公共云平臺，但只有28%的受訪者表示他們正在使用可跨多種環境工作的工具來管理網絡安全。

調查報告稱，近36%的受訪者表示，他們正在為每個環境或人工流程使用本機工具，這意味著他們正在混合環境的每個組件中以獨立的方式管理安全。

超過四分之一的受訪者表示，他們保護公共云環境的三大挑戰是缺乏可視性、缺乏培訓，以及缺乏控制。

調查報告稱，向混合云環境的過渡極大地擴展了企業攻擊面，從而擴大了必須保護的資產范圍，但安全資源并沒有以相同的規模擴展。

預算和人員配置是引用的主要資源限制因素，57.5%的受訪者表示其安全預算的不到25%用于云安全，52%的受訪者表示他們擁有10人或人數更少的安全團隊。

Firemon公司技術聯盟副總裁Tim Woods說：“我們的調查結果令人信服，但并不令人驚訝。在復雜的大型企業環境中，預算限制、缺乏明確的團隊負責云安全，以及缺乏跨混合云環境管理安全的標準，都削弱了組織保護其云業務計劃的能力。只有新一代的安全技術和流程能夠與DevOps完全集成，并在混合環境中提供端到端的可視性、持續的安全性和合規性，才能解決這個問題。”

Woods表示，該調查清楚地表明，許多公司已不再符合中央安全政策或安全原則，即在其混合環境中提供必要的安全保護。

他說：“在缺乏簡明的安全規則手冊的情況下，各部門在管理自己的安全控制，他們將盡最大努力做到這一點。但這可能增加風險。如果分散的安全責任是云計算優先戰略的未來，那么我們必須尋找一種方法來重新建立一個全球安全管理戰略，使業務意圖與合規意圖、安全意圖相一致。安全實施應緊密反映中央安全原則。安全性必須是應用程序部署的一個組成部分，這兩者的部署都是同步的。”