随着数字经济的高速发展,企业数字化转型持续加速,针对云环境的攻击日益频发,攻击技术和方式也在不断升级。伴随着云服务模式的深化应用,细分领域和场景的安全实践带来了云安全市场需求的水涨船高。 据Gartner 2022年CIO技术执行调查的结果显示,有52%的企业将会在2022年增加云的投入,而有32%的企业会减少传统基础架构和数据中心的投入。此外,有46%的企业会增加网络和信息安全的投入。由此可见,将有大部分中国企业在2022年增加对云安全的投入。 另外,在《Gartner中国云基础设施和平台服务市场指南》中,Gartner预测,2024年中国将有40%的最终用户在系统的基础设施和基础设施软件上的支出会转至云服务。因此Gartner相信,云安全将成为中国安全和风险管理领导者最关键的任务之一。 Gartner认为,到2023年将有99%的云安全问题都是客户的过错导致,主流的云服务提供商出现重大安全事件的概率很小。Gartner还预测,到2024年利用云基础设施和编程性,改进云上工作负载的安全保护将展现出比传统数据中心更好的合规性,并减少至少60%的安全事件。由此可见,与传统线下的基础设施和平台相比较,云上更安全。 然而,由于云安全与传统的线下基础设施平台安全的不同,以及中国市场的独特性,对于如何做好云安全,企业也面临着诸多挑战。 Gartner高级分析总监高峰在接受采访时表示,企业面临的挑战主要体现在以下三个方面: Gartner高级分析总监 高峰 · 对云安全责任分担模型的理解和相关技能的缺失。理解云安全和云安全提供商的安全责任分工是云安全成功的必要条件。云安全所需要的技能与传统的边界安全有所不同,企业相对能力的缺失,使云安全面临更大的挑战。 · 在选择云安全工具方面存在困难。因为非中国的云服务提供商 (CSP) 和安全供应商在中国的技术可用性存在差距,而本地供应商则将重点放在私有云上,以避免与公共云提供商竞争。 · 缺乏对云服务提供商持续的风险评估。许多中国企业没有对云服务提供商进行系统的风险评估,不同的云服务提供商存在不同的风险,因此缺少持续的风险评估会让企业的云上资产面临安全威胁。 可见,成功的云安全需要透彻地了解云安全的责任共享模型,安全、技术、工具部署以及对云服务提供商的风险评估都非常重要。 针对以上挑战,高峰提供了三个行动建议: ·通过评估云共享责任模型,明确企业和云服务提供商的安全责任范围,并建立云安全所需的能力。云安全是基于“责任公摊”的概念,因此企业需要根据部署模式的不同去相应的与云服务提供商分摊安全责任。 ·建立云安全架构,通过云原生优先的方式利用第三方和开源工具实施安全控制,同时持续监控其在中国的技术可用性。云提供商原生安全工具与云服务高度集成,采用云原生安全工具具有成本效应,而且部署简单,并可快速满足客户的安全需求。第三方工具可以提供更多的个性化配置和服务。开源工具不仅具备成本效应,还提供更多的灵活性和创新性。此外,由于云共享了安全责任和云产品的复杂性,因此企业需要新的安全工具来实现云安全,例如云安全访问代理(CASB)、云工作负载保护平台(CWPP)以及云安全态势管理(CSPM)等。 ·通过使用分层模型并利用安全认证对云服务提供商进行持续的风险评估。云服务提供商的风险不可忽视,风险评估的方法不同企业需要的投入和为其带来的价值也不同。常用的方法包含云服务提供商的宣传资料、雇佣第三方评估机构或咨询机构、以及使用分层模型等。此外,云服务提供商是否具备相关的安全认证也是重要的参考依据。 他还强调,希望通过这些建议能让客户了解如何在中国实施云安全,让企业的云上资产得到更好的保护。
转载请注明:IT运维空间 » 安全防护 » 如何有效实施云安全?Gartner提出三大建议
发表评论