The Biggest Cloud Security Challenges in 2022

探討2022年最大的雲端資安挑戰

雲端的採用率每年都在成長，這意味著雲端資安的重要性也在增加。近年來，許多組織迅速轉向基於雲端的基礎設施來支援業務需求，但保護該基礎設施的努力卻落後了。2022 年，許多組織正在尋求修正這些問題，但面臨重大挑戰，例如以下：

#1.多重雲端挑戰

大多數公司都有多雲端部署。這使他們能夠充分利用針對特定用例最佳化的不同雲端環境的獨特優勢。然而，它也增加了雲端基礎設施的規模和複雜性。

多雲環境更加複雜，導致顯著的 multi-cloud security 挑戰。 多雲端用戶面臨的一些主要挑戰包括：

• 資料保護與隱私： 57% 的組織發現根據公司政策和監管要求正確保護多雲端環境中的資料具有挑戰性。不同的環境具有不同的內建安全控制和工具，因此難以實現一致的保護。
• 獲得雲端技能： 56% 的組織難以獲得必要的技能來跨多雲端環境部署和管理一致的安全性。這樣做需要對每個環境進行深入的專業知識，隨著環境數量的增加而變得更加困難。
• 解決方案整合： 多雲端環境涉及多個供應商的不同解決方案。50% 的組織難以理解安全解決方案如何共同運作。
• 失去能見度和控制性： 由於共享責任模型和對供應商控制的基礎設施的依賴，在雲端中實現可見性和控制很困難。46% 的組織將此視為在多雲環境中工作時的主要挑戰。

#2.雲端提供者

超過四分之三的組織（76%）使用兩個或更多組織 雲端服務供應商，而近四分之一（24%）使用了五個以上。 這種雲端基礎設施的複雜性使得持續監控和保護這些雲端環境變得困難。此外，超過一半的組織 (54%) 認為其雲端供應商的內建安全產品不如第三方供應商的解決方案有效。

保護多雲環境的複雜性可能會導致組織難以實現主要安全目標，包括：

• 防止雲端配置錯誤： 有了許多供應商專用的安全性設定，確保所有設定都是正確的很複雜。
• 保護已在使用的主要雲端應用程式的安全性： 由於新冠肺炎 (COVID-19) 疫情，快速轉向雲端，許多安全團隊奮起直追。
• 達到監理合規性： 快速的數位轉型和不斷擴大的監管環境使合規變得複雜。
• 防禦惡意軟體： 隨著公司將重點轉移到雲，網路威脅參與者也隨之轉移，這使得惡意軟體管理成為雲端的優先事項。

#3.自動化 & 協調

隨著組織過渡到複雜的多雲端部署，自動化和編排對於大規模維護安全至關重要。組織使用各種安全工具來協助實作安全控制和流程，包括：

• 模板化基礎架構即程式碼 (IaC) 和安全性即程式碼（Terraform 或 AWS CloudFormation） 48%
• 無伺服器技術（Lamba 或 Azure 函數）：44%
• 持續整合和交付（CI/CD）插件（詹金斯或團隊城）：44%
• 安全協調、自動化和回應 (SOAR) 工具：41%
• 組態協調工具（主廚或安西爾）：41%
• 網路應用程式防火牆 (WAF)：5％

＃4。開發營運週期

透過將安全性整合到軟體開發生命週期 (SDLC) 的早期階段來轉移安全性，可以顯著降低脆弱性或違反合規要求的程式碼的成本和影響。組織在 SDLC 的各個階段實施開發營運安全和合規性測試，包括：

• 系統測試與生產：52%
• 功能開發和單元測試：42%
• 演出率：42%
• 無測試：10%
• 其他：27%

#5.營運安全

保護雲端安全可能具有挑戰性，尤其是在複雜的多雲環境中。組織在嘗試保護雲端工作負載時面臨的一些最大挑戰包括：

• 缺乏合格的員工： 網絡安全行業正面臨嚴重的技能短缺，而專業技能組更難找到。 因此，不到一半的組織 (45%) 找到合格的人員來填補雲端資安的關鍵角色。
• 合規: 大多數組織都受到許多不同的合規法規的約束，而且監管範圍正在迅速擴大。隨著組織轉向雲端，39% 的組織表示，在這個截然不同的 IT 環境中實現、維護和展示合規是一項重大挑戰。
• 缺乏基礎架構安全可見性： 雲端部署在責任共擔模型下運行，其中安全責任由雲端提供者和客戶劃分。沒有基礎架構堆疊的較低層可見性和控制權，並且無法部署傳統安全解決方案，35% 的組織難以實現其基礎安全基礎架構的關鍵可見性。
• 識別錯誤配置的困難： 每個雲端平台都有自己獨特的一組安全配置，大多數組織與多個雲端供應商合作。對於 33% 的組織來說，其雲端環境的複雜性使得在錯誤配置被攻擊者利用之前快速識別和修正錯誤配置變得具有挑戰性。
• 設定一致的安全性原則： 在多個雲端環境中，組織面臨著各種不同的內建安全工具和設定。因此，32% 的公司聲稱，在其雲端基礎設施中保持一致的安全策略是一項重大挑戰。
• 雲端資安自動化： 持續且自動化的安全控制對於最大限度地減少針對基於雲端的資源的網路攻擊的風險和影響至關重要。然而，31% 的組織難以實作這些自動控制項。
• 自動執行安全性： 多雲端環境的範圍使得在組織的整個環境中手動配置和實施安全性變得不可行。自動執法是至關重要的，但對 28% 的組織而言，被稱為主要挑戰。

＃6。雲端合規性

對於大多數組織來說，必須符合各種資料保護法規和行業標準。然而，雲端環境的合規性策略的設計和實施與本地系統有很大不同。一些最大的 雲端合規性 組織面臨的挑戰包括：

• 缺乏員工知識和專業知識： 雲端合規性需要專業知識和專業知識，因為它不僅需要了解所需的控制措施，還需要了解如何在雲端環境中實施這些控制措施。超過一半 (55%) 的組織表示，缺乏這種綜合監管和雲端知識是他們最大的雲端合規性挑戰。
• 環境變化： 由於監管要求和雲端環境經常變化，雲端合規性是一場持續的鬥爭。43% 的組織表示，儘管雲端環境發生變化，但保持持續合規性是一項挑戰。
• 複雜稽核： 在組織擁有並控制所有 IT 基礎架構的情況下，合規性稽核和風險評估可能會令人望而生畏。42% 的組織指出，在雲端執行此操作且對底層基礎設施的存取受到限制是一項挑戰。
• 合規性監控： 保持合規性需要深入了解組織的系統和安全控制。由於在雲端中難以實現可見性，42% 的組織發現其基於雲端的基礎設施中的合規性監控很棘手。
• 更改要求： 近年來，新法規正在迅速採用，現有標準正在收到更新。 跟上不斷變化的需求對 36% 的公司來說是一個重大挑戰。
• 雲端脆弱性管理： 隨著多雲端基礎設施的擴展，組織的數位攻擊面也隨之擴大。監控雲端應用程式和服務的脆弱性對於防止資料外洩和監管不合規至關重要。
• 合規自動化： 跨多雲環境手動維護和報告對多種法規的合規性非常複雜且不可擴展。27% 的組織聲稱擴展和自動化合規性是他們最大的雲端合規性挑戰之一。