毕马威发布的2020年云威胁报告是一份涉及云计算安全、云配置管理、云服务采用情况、云安全准备状况、云安全共享责任模型、DevSecOps的实施、云环境下的网络攻击和商业欺诈、人工智能和机器学习在云安全中的应用等多方面的综合性分析报告。
报告提到云服务的采用正在扩增和多样化,公共云被认为比本地环境更安全,关键业务应用正在向公共云迁移。同时,IaaS和PaaS的使用正在从开发和测试环境转向生产环境。真正的混合云部署正在浮现,对云服务的消费正在造成可见性盲点,组织没有遵循最小权限原则。此外,未受保护的云秘密正在被曝光,显示出云环境中的安全配置管理和权限控制的重要性。
报告强调,云配置管理面临着挑战和后果,云安全的准备状况存在差距。商业欺诈和网络攻击的策略聚焦于云服务和生产环境,如特权云凭证的钓鱼攻击,以及针对机器学习和人工智能在云安全中所扮演的角色的过度自信。
毕马威还在报告中探讨了文化和自动化对于缩小云安全准备差距的重要性。报告提出,DevSecOps(开发安全运维)的整合需要文化上的转变,自动化的需求正在推动DevSecOps的采用。并且,在云环境下,身份成为安全配置的重点。此外,报告还提出了云安全共享责任模型的去神秘化,以及如何将安全与DevOps结合的必要性。
报告中提及了针对云服务使用中出现的新型网络安全领导角色,网络中心定位的持续,以及对于实现DevSecOps的文化转变和对于不可变基础设施的“宠物对牲畜”概念的自动化安全保障。
报告中还提到,机器学习/人工智能(AI/ML)是核心产品需求,被视作适用于多种网络安全用例,并且对于AI/ML在提高网络安全效率和有效性方面的过高期望。
报告的最后部分,即附录部分,介绍了研究方法论和参与者概况,为阅读者提供了报告编制的背景信息。
毕马威这份报告通过多个角度深入探讨了当前云安全的现状和挑战,并为如何应对云环境中的安全威胁提供了见解和建议,强调了安全配置管理、安全准备、DevSecOps实践和文化变革在云时代的重要性。
