2022年云安全风险、合规性和配置不当报告.pdf

1、 2022 云安全联盟大中华区版权所有1 2022 云安全联盟大中华区版权所有3致致谢谢本文档 云安全风险、合规性和配置不当报告(The State of Cloud Security Risk,Compliance,and Misconfigurations)由 CSA 工作组专家编写，CSA 大中华区秘书处组织翻译并审校。中中文文版版翻翻译译专专家家（排排名名不不分分先先后后）组组 长长：李岩翻翻译译组组：林艺芳 沈勇 欧建军 吴贺 江澎 王彪 杨喜龙 伏伟任 江楠 王永霞 杨天识审审校校组组：李岩 郭鹏程 姚 凯感感谢谢以以下下单单位位对对本本文文档档的的支支持持与与贡贡献献：启明星辰信

2、息技术集团股份有限公司北京天融信网络安全技术有限公司北京北森云计算股份有限公司腾讯云计算（北京）有限责任公司上海缔安科技股份有限公司英英文文版版本本编编写写专专家家主要作者：HillaryBaron贡献者：Josh BukerSean HeideAlexKaluzaShamun MahmudJohnYeoh设计者：Stephen LumpeAnnMarie Ulskey特别感谢:：Nikhil GirdharProduct Marketing LeaderCloudHealth by VMwareLauren van der Vaart Senior Content Marketing Spe

3、cialistMulti-Cloud,VMware在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSA GCR秘书处给与雅正!联系邮箱：researchc-；国际云安全联盟CSA公众号。2022 云安全联盟大中华区版权所有4目目录录致谢.31.调研的开展和方法论.61.1研究目的.62.概要.7关键发现 1.7关键发现 2.8关键发现 3.9安全部门仍然在努力对齐安全方针及(或)方针落地.9部门间在安全方针和执行方面的一致性对主动安全至关重要.103.云安全程序的当前状态.113.1使用共有云提供商.113.2公有云的年度预算.113.3对抗云安全漏洞的总体信心水平.123.4对防御云漏洞

4、威胁的能力充满信心.123.5 解决安全问题的障碍.133.6安全方针制订与落地执行的跨部门协作.133.7度量安全性和合规性状况.144.正在使用的云安全工具.144.1用于云安全的解决方案.144.2对云服务提供商安全解决方案的满意度.154.3使用托管服务提供商.155.云安全状态管理.155.1识别配置不当.155.1.1负责检测、跟踪和报告配置不当的团队.155.1.2云配置不当的原因.165.1.3检测到配置不当的流水线交付阶段.175.2 因配置不当造成的破坏和事件.18 2022 云安全联盟大中华区版权所有55.2.1设计用于管理云配置不当的安全性和合规性标准.185.2.2防

5、止或修复云配置不当的障碍.185.3治理与合规.195.3.1设计用于管理云配置不当的安全性和合规性标准.195.3.2跨团队和组织执行标准.195.3.3平衡安全性与项目交付.205.4解决配置不当的解决方案.205.4.1负责纠正配置不当的小组.205.4.2修复配置不当的流水线过程阶段.215.4.3修复配置不当的时间.215.4.4改进解决安全性或合规性配置不当的方法组织中最常见的方法.225.4.5使用自动修复的障碍.226.人口统计资料.236.1组织行业.236.2组织规模.236.3工作等级.236.4组织公有云支出.246.5公司部门主要工作.24 2022 云安全联盟大中华

6、区版权所有61.调调研研的的开开展展和和方方法法论论云安全联盟（CSA）是一个非营利组织，其使命是广泛推广最佳实践，确保云计算和IT技术中的网络安全。CSA还负责教育这些行业内的各种利益相关者(涉及所有其他形式计算中的安全问题)。CSA的成员是由从业者、公司和专业协会组成的广泛联盟。CSA的主要目标之一是开展调研评估信息安全趋势。这些调研有助于衡量信息安全技术在行业内各方面的成熟度，以及安全最佳实践的采用率。VMware的CloudHealth为了增加业界对公有云安全的了解，委托CSA开展一项调查并编写这份调查结果报告。CloudHealth为该项目提供资金，并与CSA一起参与制定针对云安全的

7、调查问题，从而共同制定了该倡议。该调查由CSA于2021年5月至2021年6月在线进行，收到1090份来自不同组织规模和地点的IT和安全专业人士的答复。数据分析由CSA的研究团队进行。1.1研研究究目目的的本调研的目的是评估组织在降低配置不当导致的公有云安全和合规风险方面的准备度。主要研究课题包括：云安全计划的现状，包括最主要风险和安全工具的使用情况。组织在缓解配置不当导致的漏洞方面面临的云安全态势管理（CSPM）挑战。组织准备情况、成功关键绩效指标（KPI）以及负责云安全态势管理不同方面的团队。2022 云安全联盟大中华区版权所有72.概概要要云配置不当一直是使用公有云的企业最关心的问题。这

8、种错误会导致数据泄露，允许删除或修改资源，导致服务中断，并对业务运营造成严重破坏。最近，由于配置不当导致的漏洞成为头条新闻，为了更好地了解云安全计划的现状、用于减轻安全风险的工具、企业的云安全态势以及企业在减少安全风险方面面临的障碍，我们进行了这项调研。关关键键发发现现 1知知识识和和专专业业技技能能匮匮乏乏不不断断困困扰扰着着安安全全团团队队知识和专业技能匮乏是信息安全行业内众所周知的问题。毫不奇怪，知识匮乏和专业技能被一致认定为:通用云安全的主要障碍(59%)配置不当的主要原因(62%)主动预防或修复配置不当的障碍(59%)实施自动补救的主要障碍(56%)这些发现突出了“知识匮乏”对安全团

9、队可能产生的涓滴效应。它首先是实施有效的云安全措施的一般障碍，导致了错误的配置，这是数据泄露的主要原因。但它也阻碍了安全团队实施解决方案，如自动修复，这些解决方案可以补充知识和技能的不足。通用云安全的主要障碍配置不当的主要原因主动预防或修复配置不当的障碍实施自动补救的主要障碍 2022 云安全联盟大中华区版权所有8关关键键发发现现 2信信息息安安全全及及IT运运营营团团队队对对降降低低云云配配置置不不当当风风险险承承担担责责任任每年都有由于配置不当而导致的数据泄密事件，涉事公司也因此上了新闻头条；因此很多公司都把配置不当风险当成首要关注点。很多公司没有处理好配置不当风险的可能原因之一就是，对潜

10、在配置不当问题的发现、监控、及追踪，IT运营及信息安全团队承担主要责任(信信息息安安全全54%,IT运运营营33%)同样两团队对问题的修复也需要承担主要责任(信信息息安安全全36%,IT运运营营34%),公司没有将这些责任分担给其他团队，比如DevOps或应用工程团队，这些问题可能就是这些团队产生的，从而更加适合直接修复这些错误。基于这个原因，公司就需要将问题修复的职责转移给DevOps及应用工程团队，这样可以更好的管理配置不当风险。另外，很多公司表明由于配置不当而导致安全事件的主要原因是”缺乏可见性“(68%)，公司在选择工具的时候，下面三种功能同样重要:提高可见性有效的风险管理自动化这些功

11、能将帮助企业快速识别及修复配置不当问题，不管是哪个团队对此负责。其他其他不确定应用工程IT 运营信息安全信息安全IT 运营哪哪个个团团队队主主要要负负责责公公司司云云配配置置不不当当问问题题的的发发现现、追追踪踪及及汇汇报报等等工工作作？哪哪个个团团队队主主要要负负责责确确保保云云配配置置不不当当问问题题被被修修复复？2022 云安全联盟大中华区版权所有9关关键键发发现现 3DevSecOps 方方式式对对安安全全部部门门仍仍然然遥遥不不可可及及安安全全部部门门仍仍然然在在努努力力对对齐齐安安全全方方针针及及(或或)方方针针落落地地DevSecOps及安全左移等话题在安全行业越来越热，虽然这些

12、转型将会导致一个更牢固、更安全、更有弹性的应用，但很多组织在落地这些方针时还是很困难。他们甚至在跨部门之间对安全方针及方针落地达成共识方面都较吃力。只有三分之一的组织能成功实施这些转型。部门之间缺乏共识将会导致文化差异，也就是不同的领导有不同的优先级，经常会发生的情况是，这些问题将会先从领导开始，然后蔓延到他的团队。部门之间缺乏共识的一个解释是对前面的关键问题点缺乏知识。如果部门对DevSecOps的战略及最佳实践都没有足够的知识，那将很难在关键问题上达成共识。另外同样值得注意的是，尽管有近70%的组织在对安全方针及方针落地上对跨部门间达成共识存在困难，但只有39%的组织认为这是解决安全问题的

13、最大障碍。所以这些部门可能遇到更多的根本问题，这些问题将会阻碍DevSecOps或安全左移模型的落地。没有对安全方针及落地方针进行达成共识对安全方针达成共识，但没有对落地方针达成共识对安全方针及落地方针已经达成共识安安全全,I IT T 运运营营、及及开开发发团团队队对对安安全全方方针针和和落落地地方方针针的的关关系系 2022 云安全联盟大中华区版权所有10部部门门间间在在安安全全方方针针和和执执行行方方面面的的一一致致性性对对主主动动安安全全至至关关重重要要如果组织能够在部门之间获得关于安全方针和执行方针的一致性，并且正在转向DevSecOp方法，那么就能够更好地处理配置错误。这些组织更有

14、可能在错误发生一天内检测到错误配置(完完全全一一致致 56%,部部分分一一致致 41%,没没有有一一致致 31%)，也 更 有 可 能 在 检 测 到 配 置 不 当 一 天 内 纠 正这 个 错 误(完完全全一一致致51%,部部分分一一致致24%,没没有有一一致致19%)。由于配置不当是导致据数据泄露的主要原因之一，检测和纠正这些错误的时间越短，企业总体上就越安全。很明显，这种对DevSecOps方法的协作和进步是组织解决配置不当的关键，而且也减少了数据泄露或其他重大安全事件的风险。与安全方针保持一致并且强制执行与安全方针保持一致但没有强制执行没有与安全方针保持一致而且没有强制执行与安全方针

15、保持一致并且强制执行与安全方针保持一致但没有强制执行没有与安全方针保持一致而且也没有强制执行在在一一天天内内检检测测配配置置不不当当在在一一天天内内纠纠正正配配置置不不当当 2022 云安全联盟大中华区版权所有113.云云安安全全程程序序的的当当前前状状态态3.2公公有有云云的的年年度度预预算算参与者之间云预算差异很大。然而，最常见的三个回答都在150万美元以下。“$0-$250,000”占占 22%,“$500,001-$1,500,000”占占15%和“$250,001-$500,000”占占13%。不确定的人也占显著比例(16%).3.1使使用用公公有有云云提提供供商商市市场场上上还还没

16、没有有一一个个占占主主导导地地位位的的公公共共云云平平台台，但但是是Amazon Web Services(AWS)、Microsoft Azure和和谷谷歌歌云云平平台台(GCP)仍仍然然是是主主要要的的公公共共云云提提供供商商。在在这这项项调调研研中中,74%的的受受访访者者使使用用AWS,79%使使用用Azure,41%使使用用GCP.79%41%Google CloudPlatform(GCP)6%Alibaba CloudMicrosoftAzure6%IBM74%8%OracleAmazon WebServices(AWS)2022 云安全联盟大中华区版权所有123.3对对抗抗云云

17、安安全全漏漏洞洞的的总总体体信信心心水水平平为了评估受访者对其组织安全计划的信心，受访者被要求评估他们对组织防御及处置云安全漏洞的能力的总体信心水平。大多数受访者表示“一一般般有有自自信信”(42%)或“非非常常有有信信心心”(31%)。3.4对对防防御御云云漏漏洞洞威威胁胁的的能能力力充充满满信信心心受访者对其组织在不同领域抵御威胁和漏洞的能力的信心水平，平均处于居中水准。不同类别选项之间的置信水平差异很小。其中，信心水平最高的“合规与监管”和次高的“网络”，也仅是略高于“错误配置”选项。完全没信心有点信心一般有信心非常有信心很有信心合规和监管网络网络身份和访问管理运行态及工作负载数据丢失或

18、泄配置错误 2022 云安全联盟大中华区版权所有133.5解解决决安安全全问问题题的的障障碍碍解决安全问题的主要障碍并不令人意外，“缺缺乏乏技技能能和和专专业业知知识识”(59%)和和“预预算算和和人人力力资资源源有有限限”(56%)。这两个问题已经困扰了行业一段时间，并且与其他选项密切相关。这表明预算、人员配备和专业知识的问题可能掩盖了其他关键问题，例如“缺乏可见性”和“安全工具不足”。3.6安安全全方方针针制制订订与与落落地地执执行行的的跨跨部部门门协协作作DevSecOps和“安全左移”已成为安全行业中的流行概念。然而，对于许多组织来说，这些概念的落地执行仍很难把握。只有31%的人反映他

19、们的内部团队能在安全方针制订和执行上保持一致。“内部缺乏支持的一致性“可能是由于不同部门间的文化差异，例如不同的目标优先级。另一方面也可能是“缺乏相应的专业知识”，这也是上一个问题中提到的。还值得注意的是，尽管大约 70%的组织致力于“安全方针和执行方面获得跨部门的一致性”，但只有 39%认为这是解决安全问题的主要障碍。此外，在安全方针及落地执行上跨部门协作性更好的受访者更高概率反馈他们对自己抵御安全漏洞的能力“非常有信心”或“非常有信心”（非常有信心：完全一致 15%,部分对齐-2%，不对齐-1%；非常有信心：完全对齐-49%，部分对齐-27%，不对齐-16%）。综上，我们可以得出结论，“内

20、部一致性”是希望改善云安全状况的组织应关注的关键决定因素和基线要求。缺乏技能和专业指示有限的预算和人力资源难以管理复杂的云环境缺乏内部一致性或支持缺乏对云环境的可见性安全工具不足与安全方针和执行方针不一致与安全方针保持一致，但与执行方针不一致与安全方针和执行方针保持一致 2022 云安全联盟大中华区版权所有14未解决的高风险配置错误或违规的百分比安全和合规性控制识失败的数量解决错误配置或安全和合规性违规的平均时间安全或合规性控制覆盖的云库存的百分比检测错误配置或违反安全和法规遵从性的平均时间3.7度度量量安安全全性性和和合合规规性性状状况况组织用来度量其安全性和合规性状况的指标视情况而异。受访

21、者被要求选择他们组织使用的前三个指标。选择最多的回答是“未解决的高风险错误配置或违规的百分比”(42%),“安全和合规性控制失败的数量”(38%),和“解决错误配置或安全和合规性违规的平均时间”(32%)。4.正正在在使使用用的的云云安安全全工工具具4.1用用于于云云安安全全的的解解决决方方案案通常，使用云服务提供商的本地工具和第三方解决方案的组织之间存在相对平均的比例。然而，有几个类别的云安全有明显的赢家。云服务提供商的解决方案是原生工具，用于“身份和访问管理”(47%),而第三方解决方案用于“检测网络威胁”(46%)和“防止数据泄漏”(35%)。需要注意的一个特别令人担忧的模式是，未使用数

22、据防防丢失的组织所占比例(13%)远远高于其他任何类别。这将可能反映出这些类型的解决方案实施的难度。云云服服务务提提供供商商的的本本机机工工具具第第三三方方解解决决方方案案内内部部解解决决方方案案不不适适应应 无无解解决决方方案案不不确确定定身份和访问管理对合规性进行基准测试和监控检测运行时和/或工作负载威胁和异常检测并修复错误配置检测网络威胁防止数据丢失或泄漏 2022 云安全联盟大中华区版权所有154.2对对云云服服务务提提供供商商安安全全解解决决方方案案的的满满意意度度平均而言，受访者对他们的主要公有云服务提供商的安全解决方案感到“适适度度满满意意”在不同类别之间差异很小。平均满意度最高

23、的领域，如“身份和访问管理”，仅略高于评分最低的“防止数据丢失或泄露”。4.3使使用用托托管管服服务务提提供供商商大多数组织没有使用托管服务提供商(MSP,59%)管理公有云环境下的安全性和合规性。但只有31%的人在使用MSP。还需要注意的是，拥有1-50名员工的小型企业(72%)比拥有50名或更多员工的组织(57%)更有可能不使用MSP。5.云云安安全全状状态态管管理理5.1识识别别配配置置不不当当5.1.1负负责责检检测测、跟跟踪踪和和报报告告配配置置不不当当的的团团队队负责检测、跟踪和报告云配置不当的主要团队通常是信信息息安安全全团团队队(54%)。IT 运营是排在第二位的部门(33%)

24、。身份和访问控制检测网络安全对合规性进行基准测试和监控检测运行时和/或工作负载威胁和异常检测并修复服务错误配置防止数据丢失或泄漏较多信心较少信心不确定否是 2022 云安全联盟大中华区版权所有16有趣的是，配置不当的来源通常是DevOps团队，因此更有可能意识到已发生配置错误的人员不会被标识为负责检测、跟踪或报告云配置错误的团队。这突出了为了提高部门间的一致性和可见性，转向DevSecOps方法，从而最终更快地检测和纠正错误配置的重要性。同样重要的是，确保组织拥有正确的工具，使整个组织中的所有这些部门都能发挥作用。特别是能够实现有效风险治理的工具，使组织能够更好地识别和管理风险及合规性。自动化

25、也是快速识别和纠正错误配置的关键。这将要求组织将其架构转向云端。5.1.2云云配配置置不不当当的的原原因因组织中配置不当的主要原因是“缺缺乏乏云云安安全全最最佳佳实实践践方方面面的的知知识识或或技技能能”(62%)。这并不令人惊讶，因为早些时候这被认为是一个主要的安全障碍。更令人惊讶的是，第二个选择最多的回答是“缺缺乏乏安安全全可可见见性性和和监监控控”(49%),因为在之前的调查中，可见性没有被认为是解决安全问题的主要障碍。这可能表明组织没有优先解决可见性方面的挑战，因此，可见性是配置不当的主要原因。其他IT 运营信息安全缺乏云安全最佳实践方面的知识或技能缺乏安全可见性和监控部署速度和投放市

26、场时间受到限制默认账户和服务配置设置不合规的模板和自动化脚本其他 2022 云安全联盟大中华区版权所有175.1.3检检测测到到配配置置不不当当的的流流水水线线交交付付阶阶段段在流水线流程中检测到云配置不当的最常见阶段是“测测试试”阶阶段段(36%)和“后后期期处处理理”阶阶段段(21%)。这意味着大多数配置不当都是在部署之前检测到的(67%)，至少在某些方面表明组织已经能够“左移”。5.1.4检检测测配配置置不不当当的的时时长长组织检测云配置不当所需的时间长短差别很大。最常见的情况是会在一一天天内内(23%)或者一一周周内内(22%)。找到问题。然而，更令人担忧的是，22%的组织甚至需要超过

27、一周的时间才能找到配置不当，更不用说解决配置不当了。还需要注意的是，报告部门间协调方针及其执行情况的组织更有可能在错误发生后的一天内检测到配置不当(完全协调-56%，部分协调-41%，无协调-31%)。计划构建测试交付部署后期处理 2022 云安全联盟大中华区版权所有185.2因因配配置置不不当当造造成成的的破破坏坏和和事事件件5.2.1设设计计用用于于管管理理云云配配置置不不当当的的安安全全性性和和合合规规性性标标准准大多数组织报告称，他们在过去的一年中没有经历过公公有有云云安安全全事事件件或或漏漏洞洞问问题题(65%)。大约17%的的人人表表示示他他们们经经历历过过这这样样的的事事件件，剩

28、下18%的的受受访访者者表表示示不不确确定定是是否否经经历历了了相相关关问问题题。鉴于调查受访者的工作角色直接涉及其组织的云安全态势，出现如此高比例的受访者不确定是否发生了安全事件或漏洞问题，令人不禁有些担忧。5.2.2 防防止止或或修修复复云云配配置置不不当当的的障障碍碍在经历过发生云安全事件或漏洞的17%的组织中，主动预防或解决问题的最常见障碍是“缺缺乏乏安安全全可可见见性性和和监监控控能能力力”（68%），其次是“缺缺乏乏知知识识或或专专业业技技能能”（59%）。再一次说明，知识和可视化是主要障碍。不确定不是是缺乏安全可视化和监控能力缺乏专业知识或技能缺乏发生配置错误时的主动通知无法区分

29、错误配置的优先级缺乏问责其他 2022 云安全联盟大中华区版权所有195.3治治理理与与合合规规5.3.1设设计计用用于于管管理理云云配配置置不不当当的的安安全全性性和和合合规规性性标标准准组织主要利用“行行业业合合规规性性标标准准”（69%）、“云云服服务务提提供供商商推推荐荐基基准准”（55%）和“自自定定义义方方针针和和（或或）标标准准”（45%）。只有9%的组织报告说他们目前没有设计安全合规性标准。5.3.2跨跨团团队队和和组组织织执执行行标标准准安全性和合规性标准的执行水平因组织而异。报告“在在所所有有环环境境中中完完全全实实施施”(23%)、“仅仅在在关关键键环环境境中中完完全全实

30、实施施”(26%)和“在在所所有有环环境境中中实实施施部部分分标标准准”(24%)的组织数量大致相等。其中一点特别有趣，因为 70%的公司报告称，他们的安全方针及（或）其执行方面难以实现部门间协调。还应注意的是，与“方针一致但执行不一致的组织”17%）和“两者都不一致的组织”（7%）相比，在跨部门的方针及其执行方面具有一致性的组织，更有可能报告“在所有环境中完全执行”（占44%）。利用行业合规性标准利用云服务提供推荐基准创建自定义方针和（或）标准当前没有做 2022 云安全联盟大中华区版权所有205.3.3平平衡衡安安全全性性与与项项目目交交付付接受调研的组织倾向于优先考虑风险缓解，即使这会导

31、致产产品品交交付付速速度度有有所所延延迟迟(41%)。另有 29%的的组组织织优优先先考考虑虑交交付付速速度度，接接受受风风险险缓缓解解方方面面有有所所延延迟迟。为确保这些回答不会因为由于大量信息安全专业人员回应而使调研的数据结论有所偏差，我们特意忽略部分回答，并对数据进行了对比分析，暂未发现明显差异。另一个值得注意的发现点是，按方针与执行一致性来看，执行上保持一致的组织更有可能报告说“优先考虑缓解风险胜于交付速度”，其占比35%。而那些方针与具体执行不一致的组织约占12%。5.4解解决决配配置置不不当当的的解解决决方方案案5.4.1负负责责纠纠正正配配置置不不当当的的小小组组早些时候，我们发

32、现负责检测、跟踪和报告云配置不当的主要群体是信息安全人员(54%)，其次是 IT 运营人员(33%)。在解决配置不当方面，信息安全和 IT 运营仍然是两个主要的负责群体。两者的责任分工似乎也极为接近，其中，有36%的的组组织织错错误误信信息息上上报报是是由由信信息息安安全全人人员员主要负责，而由 IT 运运营营人人员员主主责责承承担担的的组组织织占占比比 34%。有趣的是，导致此类错误产生，或更能直接修复这些错误的DevOps或应用程序研发工程师团队并不需要承担修复的责任，而往往是由 IT 运营和信息安全人员负责修复这些错误。这结论再次显示了这些部门之间保持一致的重要性。如果组织能够通过引入

33、DevSecOps 的工作方法，使各参与者都可以更清楚地了解其他部门的活动，通过协同工作以便于更快地解决出现的配置不当或其他问题。其他不确定应用工程师IT运营信息安全 2022 云安全联盟大中华区版权所有215.4.2修修复复配配置置不不当当的的流流水水线线过过程程阶阶段段在流水线过程中，对云计算配置修复最常见的阶段是“测测试试”阶阶段段（34%）和“发发布布后后”阶阶段段（24%）。这意味着大多数配置不当能够在部署之前得到纠正(63%)，这再次表明组织至少在某些方面已经能够实现“安全左移”。这些发现几乎与前文提到的流水线过程中检测到云配置不当的阶段相同（测试，36%；发布后，21%，部署前修

34、复，67%）。5.4.3修修复复配配置置不不当当的的时时间间大多数组织都能在一周内修复这些云配置不当，总数占比约60%。其中，32%的的组组织织能能够够在在一一周周内内完完成成修修复复，28%的的组组织织能能够够在在当当天天完完成成修修复复。同时，也有30%的组织需要超过一周的时间修复这些错误的配置。关于检测到配置不当的时间长度的问题发现，78%的组织能够在一周内检测到错误。在修复配置不当的用时与检测到配置不当的用时方面有类似的趋势，69%的错误能够在一周内修复。另一个值得注意的发现是，方针制订和执行的部门一致的组织，则更有可能在检测到配置不当的一天内纠正该错误（完全一致的占51%，部分一致的

35、占24%，不一致的占19%）。计计划划构构建建测测 试试交交付付部部署署后后期期处处理理4%14%34%11%14%24%2022 云安全联盟大中华区版权所有225.4.4改改进进解解决决安安全全性性或或合合规规性性配配置置不不当当的的方方法法组组织织中中最最常常见见的的方方法法用于改进云环境中安全性和（或）合规性配置不当的解决方法是“培训和教育”。这并不奇怪，因为缺乏知识已多次被指出是安全的一个关键障碍。第二和第三个最常见的回答是“手手动动修修复复”(48%)和“自自动动修修复复”(43%)。尽管自动化是最常用的三种方法，但很明显，许多组织还没有完全实现自动修复，因为当被问及他们的组织需要多

36、长时间修复上一个问题中的配置不当时并不是一个普遍选择的回答。5.4.5使使用用自自动动修修复复的的障障碍碍对于那些不使用自动修复的人来说，不使用该解决方案的最常见原因还是缺缺乏乏专专业业知知识识(56%)。第二大常见原因是部部门门之之间间在在自自动动补补救救策策略略上上缺缺乏乏一一致致性性(43%)。这一点也不奇怪，因为70%的组织正在努力在安全方针或方针执行方面获得部门间的一致。与之接近的第三个原因是，人们担心自自动动修修复复可可能能会会导导致致意意想想不不到到的的后后果果(42%)。这可能与缺乏专业知识和知识的问题有关。如果团队不知道如何正确地利用这项技术，就很有可能会遇到意想不到的后果。

37、培训和教育手动修复自动修复利用安全验证的基础设施即代码作为模板在 CI/CD流程中主动执行安全控制缺乏专业只是在自动修复策略上，安全性和工程之间缺乏一致性担心自动修复会导致意想不到的后果足够的预算目前不感兴趣 2022 云安全联盟大中华区版权所有236.人人口口统统计计资资料料这项调研于2021年5月至6月进行，收集了1090份来自不同组织规模、行业、地点和角色的IT和安全专业人员的回复。6.1组组织织行行业业6.2组组织织规规模模6.3工工作作等等级级36%IT 和技术19%金融服务16%公共部门(政府、教育等)9%商业和专业服务6%其他6%健康、制药和生物科技5%电信4%制作与生产3%零售2%能源、石油/天然气和公用事业2%旅行和交通1%建筑及物业高层或管理级别员工经理 2022 云安全联盟大中华区版权所有246.4组组织织公公有有云云支支出出6.5公公司司部部门门主主要要工工作作6.6区区域域贡献最多的国家和地区包括：美利坚合众国、印度、大不列颠及北爱尔兰联合王国、加拿大、澳大利亚、新加坡、德国、瑞士、法国美洲51%20%亚太区29%欧洲IT运营信息安全其他应用工程师 2022 云安全联盟大中华区版权所有25