在過去幾年，云安全領域暴露了不少問題，發生了一些安全事件：AWS經歷了超過3次嚴重中斷，導致Roku、達美航空公司、迪士尼+等知名網站數小時無法使用;Microsoft中存在的一個高危安全漏洞(稱為“NotLegit”)導致數百個源代碼存儲庫暴露……云服務提供商中斷、敏感數據泄露、云資產漏洞以及涉及使用公共云環境的違規行為等層出不窮。

不過，即便存在諸多安全問題，我們仍然看到將工作負載遷移至云、在云中構建新應用程序以及訂閱各種SaaS和其他云服務已經成為一種趨勢，并且正在快速增長。近日，研究機構SANS發布《2022年云安全調查報告》(以下簡稱“報告”)，其目的是幫助全球企業組織了解安全團隊在云中面臨的威脅、如何使用云以及我們可以采取哪些措施來改善云中的安全狀況。

報告發現，目前，無論是管理團隊的知識水平，還是來自云安全領域的供應商及其提供的工具和服務都有了一定程度的提升。然而，總體而言進展并不快。企業組織需要獲取更好的自動化能力以跟上快速迭代的服務，也需要使用更好的集中式工具和服務，以應對不斷變化的云威脅場景。

報告還發現：無服務器(Serverless)已超越基礎設施即代碼(IaC)，成為安全自動化技術的第一名;超過一半的受訪者正在將內部身份目錄與基于云的目錄服務同步，以實現更強大的云身份管理和賬戶控制;與2021年相比發生了令人驚訝的變化，更多的受訪者表示，他們對通過獲取日志和系統信息以進行取證感到不滿。

云使用模式

在云使用模式中，業務應用程序和數據以68%的占比位居榜首，這也是它第三次蟬聯榜首;緊隨其后的是備份和災難恢復，占比57%，而在2021年的調查中，它僅排第四，這種排名提升可能是由勒索軟件攻擊驅動的;安全服務(54%)、數據存儲和歸檔(42%)今年分列第三和第四，這也可能是由云使用和勒索軟件攻擊增長驅動的(詳見圖1)。

圖1：公共云中各種應用程序和服務的占比情況

今年的調查還顯示，組織正在使用的公共云提供商數量與去年基本保持一致。2019年，最高響應類別是2-3個提供者，該數字始終保持一致。小型組織仍然對遷移至多云部署猶豫不決，且只有少數組織使用20+家云服務提供商，這也與我們上次的調查一致。有趣的是，2021年，只有3%的組織使用了11-20個提供商，而這個數字在2022年躍升至9%。2021年只有超過16%的組織使用了4-6個提供商，這個數字到2022年已增長至23%(見圖2)。

圖2：組織正在使用的公共云提供商數量分布

隨著云應用程序和多云部署(特別是面向最終用戶的部署)的使用量增加，53%的受訪者表示，他們正在使用云訪問安全代理(CASB)，比2021年的43%顯著增加。49%的受訪者組織正在利用云網絡訪問服務;46%的組織還使用聯合身份服務來幫助將用戶訪問和授權集中到云應用程序中。雖然沒有太多組織采用多云代理來集中訪問平臺即服務(PaaS)、基礎設施即服務(IaaS)和其他服務提供商環境，但這個數字還是從2021年的18%增長到2022年的25%。較新的安全訪問服務邊緣(SASE)類別將眾多安全服務結合到一個中央代理模型中，并獲得了18%的采用率。

云中的擔憂、風險和治理

對于云中托管的敏感數據類型，商業智能(46%)從去年的第二位跌至今年的第三位。2022 年最高的數據類型是金融業務數據，占比54%;而2021年以53%的占比排名第一的員工數據，今年則以49%的占比位居第二。總體而言，雖然數據類型發生了一些變化，但這里的總體趨勢與我們之前觀察到的趨勢高度相似。大約一半的組織愿意將各種敏感數據類型存放在云端，只是某些受到更嚴格監管的數據類型占比較低，例如，客戶支付卡信息僅占22%、醫療信息僅占23%(參見圖3)。

圖3：云中敏感數據類型分布

當被問及“《歐盟通用數據保護條例》(GDPR)等隱私法規是否正在影響現有或計劃中的云戰略”時，近三分之二(62%)的人認為“是”，這一比例高于2021年的55%。對于某些數據類型(尤其是消費者個人數據)，組織需要確保其云提供商能夠充分滿足隱私合規性需求。與去年相比，這種增長趨勢可能會持續下去。

就“云中最大的擔憂”而言，過去幾年中，外部人員未經授權訪問數據始終是最受關注的問題。但是，今年情況發生了重大變化，未經授權的訪問僅排在第四位(51%)，排在前面的分別為未經授權的應用程序組件或計算實例(54%，排第一)、配置不當的接口和API (52%，排第二)以及無法響應事件(51%，排第三)。這種轉變表明，組織越來越習慣于鎖定云環境，但現在比過去更關心影子IT和配置錯誤問題。

“已存在”(realized)的最大問題是在需要時停機或云服務不可用(32%)、缺乏技能和培訓(31%)以及未經授權的外部訪問(28%)。這些“已存在”的問題在整個行業中一直存在，并且已經存在了一段時間。我們推測，隨著云環境不斷增長和復雜化，即便沒有直接的入侵行為，對云API和應用程序組件缺乏認識和可見性也可能會引發更多擔憂。然而，入侵正在發生，并且對受訪者無法管理入侵場景的高度擔憂可能會繼續存在。有關“擔憂”和“實際事件”的完整細分，請參見圖4。

圖4：“擔憂”(藍色)和“實際事件”(紅色)的完整細分

調查還顯示，62%的受訪者認為遠程工作場景會增加云部署的風險和威脅，而29%的受訪者表示不會，大約10%的人不確定。在這些認為風險會增加的受訪者中，他們認為最大的原因是缺乏監督和監控能力(35%)，其次是遠程用戶入侵(33%)。其他原因還包括配置錯誤(29%)以及不成熟的控制和流程(20%)。

在云應用過程中總會引發對違規的擔憂，盡管存在擔憂，但數據顯示，過去12個月內已知的違規百分比基本保持不變。大約19%的受訪者表示他們確實遇到了違規行為，與2021年的結果幾乎相同。不過，這個比例可能會更高，因為與過去相比，現在“不確定”的比例已經明顯增加，2022年有21%的受訪者“懷疑”他們可能已遭入侵只是無法證明，2021年這一比例為17%。

對于造成入侵的原因，今年響應最多的是賬戶/憑據劫持(45%)和云服務/資源的錯誤配置(43%)，這一結果與前兩次調查保持一致。2021年，第三大問題是不安全的接口或API(36%)，而今年對這些API的利用是第三大問題(34%)。拒絕服務(DoS)攻擊從2021年的30%下降到26%(微小的變化，但值得注意)。圖5顯示了云攻擊所涉及因素的完整分解。

圖5：云攻擊涉及因素分布

這些變化可能反映了云的變化性質，以及我們可用的提供商和控制的成熟度。許多控制元素完全由公共云提供商管理，因此對這一層的攻擊面大大減少。DDoS攻擊仍然會發生，但由于公共云提供商和第三方服務在過去幾年中越來越受歡迎，DDoS防護得到了改進，因此它們在入侵場景中似乎并不普遍。但是，對于憑據的防護力度仍然不足，此外，云資源的錯誤配置也仍然是一個關鍵問題。

云中的安全和治理

隨著云使用的增長，組織需要開發和增強其流程和治理模型。在這方面我們看到了進步：77%的組織制定了云安全和治理政策，而2021年這一比例為69%;而表示“沒有任何政策”的受訪者數量從2021年的23%下降至15%。這表明組織正在穩步改進和增強其治理和政策計劃，以與云提供商共同承擔云安全的責任。如果沒有適當的監督和治理機制，許多云程序將一直受到影子IT、配置問題以及缺乏云中可見性的困擾。

在過去幾年中，組織也一直在穩步實施一些最常見的云部署安全控制措施，與內部或直接管理的獨立平臺相比，許多控制措施現在也可作為安全即服務(SecaaS)產品提供在PaaS/IaaS環境中。與2021年一樣，VPN(45%)仍是實施最成功的內部管理工具，但管理傳統VPN的組織比以前少了。2021年，網絡訪問控制、漏洞掃描和殺毒軟件也被吹捧為組織內部管理的良好控制措施，但今年我們看到日志和事件管理和多因素身份驗證也有所增加。

在今年的調查中，排名靠前的SecaaS服務是多因素身份驗證和殺毒軟件，而CASB的實施有所下降。云中控制措施的完整分布如圖6所示。

圖6：云中控制措施的完整分布，集成的管理控制(藍色)、SecaaS(紅色)、兩者兼有(綠色)

這些數字在很大程度上都是積極的，表明基于云的SecaaS工具(這些服務中的大多數在2021年都處于10-15%的范圍內，現在有幾個已超過20%)和混合選項的使用有所增加。此外，云API的使用和集成也在增長。2021年，51%的受訪者表示他們正在利用云提供商API來實施安全控制(自動化和云安全成熟度的關鍵要素)，而現在這一數字高達61%。對于那些利用這些API的人來說，最常見的控制是身份和訪問管理(從2021年的第二位上升到第一位)，其次是配置管理和日志記錄以及事件管理。完整分布詳見圖7。

圖7：API集成的云安全控制和功能完整分布

在大多數情況下，組織仍在內部管理許多控制措施，但這種情況也正在慢慢改變。然而，組織已經成功地在傳統的本地部署和云環境之間集成了一些控制措施，從而創建了混合云安全模型。在調研中，近67%的受訪者認為他們的組織已成功集成殺毒軟件工具(高于2021年的64%)，63%認為其所在組織已集成多因素身份驗證，53%認為漏洞管理已很好地集成在混合模型中，約51%的受訪者確信他們已經集成了網絡訪問控制(之前為47%)。其他顯示強大混合集成的技術領域還包括EDR、加密和IDS/IPS。混合控制集成的完整分布如圖8所示。

圖8：混合控制集成的完整分布，藍色為現在，紅色為未來12個月

當被問及“計劃在未來12個月內集成哪些控制措施”，35%的人表示他們計劃集成取證和事件響應(IR)工具，33%計劃集成云風險評估工具，而事件管理和SIEM平臺排在第三位。這表明組織正在更多地關注檢測和事件響應，對于許多團隊來說，這長期以來一直是不成熟的控制和流程領域，但對云風險的高度關注表明，企業也需要“以云為中心”的報告和控制分析。

而被問及“是否使用任何自動化和編排工具來改善云安全狀況”時，大多數安全團隊表示正在增加使用自動化控制和監控策略，這種趨勢已經持續了幾年。去年調查中最常用的工具是用于實施IaC的模板技術(AWS CloudFormation、Azure Resource Manager模板、Terraform等)。在今年的調查中，這些IaC工具仍然被大量使用(54%)，但已被無服務器技術(55%)所取代。

總體而言，自動化和編排工具的使用已全面增加，預計隨著組織提高云部署的速度和效率，這一趨勢將繼續下去。有關如今使用的自動化/編排工具/方法的完整細分，請參見圖 9。

圖9：自動化/編排工具/方法的完整細

云身份和訪問管理(IAM)

鑒于身份對云實施(對于最終用戶服務以及云基礎設施和應用程序部署)的重要性，我們詢問了安全團隊“如何利用云中的身份功能和工具”。超過一半(53%)的受訪者正在將Active Directory等身份存儲同步到云目錄服務，從而實現與其他云服務的聯合，并在控制用戶對云資產的訪問方面變得更加靈活。大約38%的受訪者將身份映射到云提供商提供的身份，超過三分之一的受訪者使用身份即服務(IDaaS)進行聯合和單點登錄(SSO)。其他人則利用內部身份套件進行混合云集成，或利用IAM策略來控制云中的對象訪問和行為(詳見圖10)。

圖10：受訪組織利用云中的身份功能和工具的方式分布