云计算在增加部署的流动性和自动化方面带来了巨大的能力。随着云技术的采用,人们开始使用专门为该领域开发应用程序而构建的云原生工具。然而,云原生工具带有一些细微的安全问题,例如错误配置、已知漏洞和泄露的秘密。因此,根据Snyk公司最近发布的一份报告,83%的组织认为安全性对其云原生策略非常重要。

Snyk的云原生应用安全报告调查了数百名IT专业人员对云原生安全的担忧。下面,我们将从报告中找出最重要的要点,找出云原生应用程序安全性最常见的问题领域,并查看部署自动化与更高级别的应用程序安全性之间是否存在关联。

迁移到云原生

团队正在转向云原生技术,用软件驱动的架构和基础设施代码(IaC)来增强DevOps的能力。在这个新的云原生范例中,58%的生产工作负载部署为容器,21%现在是无服务器的,50%在部署过程中使用某种形式的IaC。

由于各种原因,组织正在转向云原生技术。研究发现,首先,集装箱化软件提供了更快的速度——68%的组织为了提高部署速度而转移到集装箱。其次是易于管理(67%)和降低成本(43%)。采用云原生工具也有安全的必要性;36%的受访者认为安全是将生产应用程序转移到容器的主要原因。

顶级云原生安全问题

虽然容器、Kubernetes、serverless和IaC等云原生技术能够实现更快速的发展,但它们也带来了独特的安全问题。报告发现,错误配置和已知的未修补漏洞是云原生环境中最常见的事件类型。事实上,45%的组织经历过由错误配置引起的事件,其次是38%的组织经历过由已知的未修补漏洞引起的事件。

其他常见的云原生安全事件包括机密泄漏、失败的审计和恶意软件。有趣的是,这项研究还发现,内部人员泄露数据的情况在云原生采用程度较高的组织中更为常见。根据这份报告,38%的采用云计算的组织遭遇了内部人员的数据泄露,而在采用云计算较少的组织中,这一数字减少了一半,为17%。像API密钥这样的秘密必须小心管理,尤其是在云原生工具强制使用更多依赖项的情况下。”对这类工件的有效管理是区别于更集中的前云时代的一个关键因素。

自动化安全测试

端到端部署自动化显示了希望,但对于大多数开发团队来说,它仍处于成熟的早期阶段。尽管95%的组织使用某种部署自动化,但只有大约三分之一的组织拥有完全自动化的部署管道。

部署自动化程度提高的组织也倾向于接受更高程度的安全测试。报告发现,高度自动化的管道在其整个开发生命周期中使用安全测试的可能性是原来的两倍。由于事件通常由错误配置和已知漏洞引起,因此自动扫描可以帮助识别许多云原生问题,将生产代码与已知漏洞的数据库进行比较。

那么,什么时候进行安全测试?通常,它发生在CI/CD管道中。超过60%的组织在CI系统中执行安全测试。这与在开发过程的早期测试源代码存储库或本地ide和CLI工具相反。就测试频率而言,执行的范围很广。对于部署自动化程度高的组,70%的组每天或更频繁地测试安全性。自动化安全测试似乎运行良好,72%的全自动化团队在一周内发现并修复关键漏洞。

该报告还揭示了一个有趣的脱节方面的安全测试所有权。只有一小部分安全工程师(不到10%)认为开发人员负责云原生环境和应用程序的安全,而36%的开发人员表示他们负责安全。这些数字可能表明安全责任向左转移到开发端。或者,随着全周期开发变得更加现实,它也可能突显出人们态度的变化。无论如何,团队必须明确角色,以避免一些困难的对话!

云原生安全

随着向云原生策略的转变,安全标准也在不断提高,以应对诸如错误配置之类的新问题。为了应对日益增长的应用程序威胁,提高自动化程度有助于改变安全性,本报告和其他报告清楚地表明了全自动化部署管道和提高安全性测试方案之间的相关性。

由于采用了云原生工具,58%的组织自采用云原生工具以来增加了安全顾虑。其中一部分涉及到在所有基础设施(无论是面向内部还是面向外部)中采用零信任方法。报告显示,58%的组织越来越担心配置错误,52%的组织越来越担心不安全的API,43%的组织越来越担心已知的未修补漏洞,41%的组织担心机密泄漏。希望这些基准能帮助您了解您的组织与其他组织相比的情况。

Snyk的stateofcloud原生应用程序安全报告对600名开发、安全和操作方面的专家进行了关于云原生采用和安全实践的提问。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2024-12-11 15:00:57
云资讯 从全球布局到持续创新 Akamai如何获得中企出海的青睐
Akamai未来希望把自己定位为一个‘推理云’,帮助用户更好的在Akamai公有云上做推理。 <详情>
2024-11-05 15:03:54
市场情报 TiDB 助力杭州银行“云原生分布式核心系统”荣膺 2023 金融科技发展奖
杭州银行“云原生分布式核心系统”自投产以来已稳定运行近一年,成功完成双活中心切换演练并采用在线扩缩容应对季度结息高峰场景。 <详情>
2024-08-14 16:41:49
市场情报 亚马逊云科技如何追踪并阻止云端的安全威胁
可靠的云基础设施让亚马逊云科技拥有独特的视角观测安全态势和客户每天面临的威胁。 <详情>
2023-11-07 13:52:00
云资讯 青云云易捷带来的企业IT思考:既要脚踏实地 也要仰望星空
凭借“可靠、简单、智能”的特性,云易捷产品已经在医疗、金融、制造业、教育等行业被广泛使用。 <详情>
2023-10-29 10:20:00
云资讯 中国电信打造全国首个3AZ天翼云原生亿级物联网平台
面向未来,天翼物联将持续加大关键核心技术攻关力度,不断强化优质高效的数字化产品和服务供给,加速推进全面感知、安全可信的物联网新型基础设施建设,推动数字技术和实体 <详情>
All in AI 亚马逊云科技助力安克创新以AI赋能业务
2025-07-01 09:31:00
供需牵引 生态共筑——2025中国智算产业生态发展大会成功举办
2025-06-30 12:46:35
亚马逊云科技:Agentic AI处于爆发前夜 要做企业AI创新的首选
2025-06-27 17:35:02
CIDC探路汕头跨境数字枢纽:共绘跨境数据流通与算力协同新蓝图
2025-06-24 14:17:46
第一线陈姵妏:专有算网即服务 破解企业AI部署“升效-降本”难题
2025-06-24 14:13:07
阿喀琉斯之踵?!阿里云核心域名遭劫持
2025-06-24 14:08:46
破局生态壁垒,共筑算力未来——2025中国智算产业生态发展大会即将启幕
2025-06-24 13:57:58
红帽AI来了!让开源成为企业AI最优解
2025-06-24 10:49:47
完整议程揭秘 五大参会理由!2025中国智算产业生态发展大会即将启幕
2025-06-24 09:27:59
“数”启新程,“智”赢未来:和林格尔新区绿色算力与人工智能高质量发展之路
2025-06-23 17:32:10
瑞银实地探访星际之门:未来的希望还是空置的野心?
2025-06-23 16:48:30
投资45亿、3000P,灵武智慧算力科创谷项目预计于6月底完成主体结构封顶
2025-06-23 16:45:55
《绿色数据中心评价》落地 246家绿色数据中心背后价值何在?
2025-06-23 16:44:29
智擎破局:中电电气重塑绿色智能数据中心新范式
2025-06-23 16:41:53
统一算力“度量衡” 工信部发布《算力互联互通行动计划》
2025-06-23 16:39:31