E安全4月23日讯 迈克菲公司对全球多个国家、行业以及不同规模组织机构的1400名 IT 专业人员进行调查后得出一个结论：

组织机构在采用云服务上面临的最大挑战是缺乏可见性和控制能力，即便面临着这些挑战，由于云的商业价值太具吸引力，以至于部分组织机构仍在往里钻。

云服务几乎无处不在

根据于2018年 RSA 大会上公布的调查结果显示，全球97%的 IT 专业人士表示至少使用一种云服务。

公有云与私有云的结合成为目前最流行的架构，59%的受访者表示他们正在利用这种混合模式。尽管不同规模的组织对私有云的使用情况相对趋同，但混合使用场景比例随着组织规模的增长在稳定提升：

• 员工数量为1000人的组织采用比例为54%；

• 5000名员工的组织采用混合云的比例则提升至65%。

目前，83%的组织机构会将部分或者全部敏感数据存储在公有云当中，这类存储数据涵盖多种敏感及保密信息，具体包括：

• 客户个人信息（61%）。

• 内部文档、支付卡信息、工作人员个人数据以及网络凭证数据（约40%）。

• 知识产权、医疗记录、竞争情报以及网络凭证卡（约30%）。

“云至上”（Cloud-First）IT 策略提出，新项目应当优先考虑使用云技术，而不是本地（on-premises）服务器或软件。迈克菲公司这份报告指出，“云至上”策略仍被大部分企业作为一项主要原则，但是，由于采用该策略的组织机构数量从82%降低至65%，因此有些公司可能会相对谨慎。尽管如此，采用该策略的调查对象仍然认为，公共云比私有云更加安全。他们了解风险，但是，他们知道的越多，IT专业人士愈发认为“云至上”是他们想要的方向。

安全事故与技能短缺

在全部采用 IaaS、PaaS 或者 SaaS 方案的组织机构当中，25%曾遭遇数据失窃问题，20%曾经遭遇针对其公有云基础设施的高级攻击活动。

• 欧盟即将于2018年5月正式启动的通用数据保护条例（简称GDPR），这将促使组织机构更加重视合规性保障工作。对云服务供应商能力充满信心的组织更有可能在未来一年计划增加其整体云投入，而对当前云服务不太信任的组织则可能继续保持原有投资水平。受到 GDPR 的影响，平均而言，只有不到10%的受访者预计其云投资额度将有所下降。

• 恶意软件目前仍是各类组织机构的关注重点，56%的受访专业人士表示他们曾经将恶意软件感染问题回溯至云应用上，这一比例高于2016年的52%。在被问及恶意软件是如何渗透至组织内部时，25%的受访者表示其云恶意软件感染源自网络钓鱼活动，其次则分别为来自已知发件人的电子邮件、驱动程序下载以及已感染恶意软件的后续下载。

• 网络安全技能短缺问题逐步被弥补，因技能短缺问题而采用云的情况也在逐步降低。目前认为自身不存在技能短缺问题的受访者由2017年的15%增加到2018年的24%。而在仍表示存在技能短缺问题的受访者当中，有40%因此减缓了云采用步伐，这一比例低于2017年的49%，技能短缺仍是制约云采用速度的主要障碍。

最佳实践与相关建议

根据相关结果，各类组织机构或会积极实施以下三项最佳实践：

• DevOps 与 DevSecOps 已被证明可有效提升代码质量并降低安全漏洞及缺陷。在业务部门或应用程序团队当中集成开发、质量保证与安全流程，对于满足现有商业环境的实际需求与速度水平可谓至关重要。

• 即使是最具经验的安全专业人员，也很难跟上云部署的规模与速度水平。自动化机制利用机器优势补充人类能力，目前 Chef、Puppet 以及 Ansible 等现代 IT 运营中的基础性组件正努力弥合这一差距。

• 多管理工具使得日常工作变得更为轻松。多云环境间的统一管理平台采用开放式集成架构，能够有效降低成本与复杂性水平，同时显著改善安全性。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/581241248.shtml

▼点击“阅读原文” 查看更多精彩内容