将应用程序连接到云已成为如今许多企业数字化转型计划的关键部分。据统计,2022年欧美地区有近40%的企业采用了行业特定的云平台。我国云计算市场同样高歌猛进,2021年市场规模达3229亿元,较2020年增长54.4%。但未来的这三种软件开发趋势或将影响云服务市场的持续发展,安全风险激增。
· 低代码/无代码:由于软件开发技能的差距,低代码/无代码(LCNC)平台能够以最少的手工编码以及快速设置和部署实现快速应用程序交付的应用程序开发平台。
· 可组合性:也称为“即插即用”架构,可组合企业架构的出现代表了从单片技术套件和代码软件开发到多个可互换应用程序的互连生态系统的过渡。
· 微服务:这种软件开发的架构方法将应用程序分解为多个较小的服务,允许开发人员以更省时的方式修改和重新部署软件。
·
云服务将面临哪些风险?
以上三种趋势都有一个共同点,即都加强了应用程序对云服务的依赖。但当开发人员必须处理跨不同云的复杂应用程序连接时,往往会为了速度和便利而忽视安全性。一旦出现一个小小的失误,就有可能破坏一整条供应链。因此,目前大多数软件在投入使用之前,都会经过层层检测,例如运用自动执行工具扫描应用程序中的缺陷和漏洞。
另一方面,由于多云的重要性和云基础架构的复杂性,企业很难了解全部的云工作负载,更难采取相应措施进行保护。因此,企业应该提高对云服务供应商的安全防御要求,通过多方监测维护安全环境。
应用上云 安全维护是企业和供应商的共同责任
许多企业会误以为自身在应用程序安全方面没有义务,但当他们选择将应用程序部署在云中时,就使得企业系统很可能暴露在漏洞之中。构建全面安全的网络环境,企业应在安全防御中采取负责任、主动的措施。云和应用程序安全的维护涉及人员、流程、策略和技术的整个生态系统,其中数据分类、网络控制和物理安全等的安全性需要有明确的责任共担模型。
传统的企业 CISO 在过去多使用本地数据中心,通过防火墙监控流量对其进行保护。在当时,CISO完全掌控其安全系统架构,但一旦将应用程序迁移到云端,CISO就失去了一定控制权,被迫依赖于云提供商的安全策略。但问题在于这些提供商的安全策略多为内置安全性,并未涵盖所有内容。
所以,企业的安全团队需要做好相应的安全维护工作,可以利用资源提前明确云提供商可能无法涵盖的安全服务或者直接选择最适合企业的安全服务,找出安全架构的漏洞,及时填补。