混合云安全防护不仅难度日益升级,更已濒临极限。虽然安全防护本就是一场没有终点的竞赛,但红帽《2026 年云原生安全防护现状报告》显示,许多企业组织如今陷入了“可控混乱”的循环。要破局突围,团队必须超越被动应对模式,将其战略扎根于基础安全实践与策略,将安全防护从瓶颈转变为基本保障。
云原生安全事件的现实
这份报告揭示了一个发人深省的常态:安全事件现在几乎已是家常便饭。97% 的企业组织在过去一年中至少报告过一次云原生安全防护事件。这些事件并非只是复杂的一次性攻击,而是往往源于“日常疏漏”。
最常报告的事件类型包括:
- 基础架构或服务配置错误(78%):导致泄露的主要原因,通常是由复杂环境中的人为错误所致。
- 已知漏洞:部署的工作负载包含“已知错误”代码,造成了本可避免的风险窗口。
- 未经授权的访问: 持续存在的运维难题,经常导致敏感数据泄露。
这些事件造成的实际业务成本已远超 IT 部门的承受范围。74% 的企业组织在过去 12 个月内出于安全考虑而推迟或放缓了应用部署。除进度延迟外,92% 的受访者表示受到了重大影响,包括修复时间增加(52%)、开发人员生产力下降(43%)以及客户信任流失(32%)。简而言之,安全防护不再只是一个技术层面的选项,而是已成为制约业务敏捷性的主要风险。
标题: 询问受访企业组织“未来 12 个月内,下列各项因素预计对贵企业组织的云原生安全策略造成多大影响?(报告称有一定影响或重大影响)”时的回应。
成熟度悖论:信心与策略的脱节
该报告最引人注目的发现之一,是感知就绪程度与实际策略之间存在差距。虽然 56% 的企业组织表示其日常安全态势具有“高度主动性”,但仅有 39% 的企业组织真正拥有成熟且明确的云原生安全策略。
这表明,虽然团队都在追求前瞻性防护,但许多仍在“即兴应对”。事实上,大约 22% 的企业组织根本没有制定明确的策略。这种结构性缺失导致安全防护措施的采用参差不齐,包括:
- 身份和访问权限管理(IAM):采用率约为 75%,因为身份被广泛视为核心控制手段。
- 容器镜像签名:仅约半数企业组织为保障软件完整性而实施了此功能。
- 运行时保护:实施仍不均衡,导致许多团队依赖于默认设置而非有意治理。
数据印证了成熟策略的价值:拥有明确策略的企业组织更有可能采用高级防护措施,并且在其软件供应链安全防护方面的信心度达 61%,远高于策略不成熟的企业组织。
投资趋势转变:自动化和供应链
认识到这些差距后,各企业组织正在重新调整 2026 年的预算规划。焦点正从分散的单点工具转向平台整合,并将安全防护机制直接构建到软件生命周期中。
未来一到两年的关键投资重点包括:
- DevSecOps 自动化:超过 60% 的受访企业组织计划投资于将安全防护机制自动化整合到 CI/CD 管道,目标是从人工审查“关卡”转变为“安全即代码”,以减少人为错误。
- 软件供应链安全防护:56% 的企业组织正在优先考虑这一领域。随着供应链攻击激增,亟需通过软件物料清单(SBOM)和来源检查来验证开源依赖项和容器镜像的安全性。
- 运行时保护:54% 的受访者打算扩大防御范围,以实时检测并阻断活跃威胁,如挖矿劫持或恶意容器行为。
合规已不再是次要问题。64% 的企业组织预计,《欧盟网络弹性法案》(CRA)将成为其 2026 年投资决策的主要驱动力。这意味着安全治理正从“锦上添花”式功能转变为董事会层面的强制性要求。
新兴风险前沿:AI 与云安全防护
2026 年,AI 已成为云原生团队的双刃剑。虽然 58% 的企业组织表示,AI 应用现已成为其安全防护规划的核心驱动因素,但实际治理水平却“严重落后”,远远跟不上 AI 实施速度。
报告显示,企业组织对云环境中的生成式 AI(gen AI)存在近乎普遍的焦虑,96% 的受访者表示非常担忧。这些忧虑并非停留在理论层面,而是聚焦于三大具体风险:
- 普遍性担忧:96% 的受访者表示,他们对于在云环境中使用生成式 AI 存在顾虑。
- 主要担忧方面:包括敏感数据泄露、未经批准使用影子 AI 工具,以及集成不安全的第三方 AI 服务。
治理差距:尽管存在这些担忧,但 59% 的企业组织仍缺乏成文的内部 AI 使用政策或治理框架。
若缺乏明确规则,企业组织可能会面临 AI 驱动的行为篡改配置或在常规流程之外泄露专有代码的风险,这会在本质上加剧现有的身份和供应链风险。
基于数据提出的 2026 年建议
报告最后给出了明确指引:云原生创新的速度已正式超过传统安全防护的部署速度。为了化解成熟度悖论,企业组织必须超越“临时救火”模式,采用以平台为中心的结构化方法。
2026 年的五项关键行动
- 制定正式策略:企业组织必须超越“临时救火”模式,开辟一条从被动响应转变为主动防御的结构化路径。
- 嵌入防护措施和自动化:安全防护必须成为平台的默认配置,由 DevOps 或平台工程团队实施,确保在不增加开发人员阻力的情况下进行扩展。
- 优先保障供应链完整性:实施强制性镜像签名和依赖项扫描。正如一位受访者所指出的,虽然人人都在使用开源,但“真正扫描或签署依赖项的却寥寥无几”。打破常规,成为例外,才是构筑系统弹性的关键。
- 形成反馈循环:统一可观测性和安全数据,以便将运行时威胁检测中的见解反馈到开发流程中,优先处理最关键的修复项。
- 即刻治理 AI 使用:企业组织不能只是等待外部监管,而是必须立即召集跨职能团队,就可接受的 AI 使用和数据处理方式制定准则。
2026 年,安全防护不再是附加组件,而是云原生架构的基础要素。企业组织只有将安全防护视为业务敏捷性的主要驱动力,而非成本负担,才能取得成功。
关于作者
Red Hatter since 2018, technology historian and founder of The Museum of Art and Digital Entertainment. Two decades of journalism mixed with technology expertise, storytelling and oodles of computing experience from inception to ewaste recycling. I have taught or had my work used in classes at USF, SFSU, AAU, UC Law Hastings and Harvard Law.
I have worked with the EFF, Stanford, MIT, and Archive.org to brief the US Copyright Office and change US copyright law. We won multiple exemptions to the DMCA, accepted and implemented by the Librarian of Congress. My writings have appeared in Wired, Bloomberg, Make Magazine, SD Times, The Austin American Statesman, The Atlanta Journal Constitution and many other outlets.
I have been written about by the Wall Street Journal, The Washington Post, Wired and The Atlantic. I have been called "The Gertrude Stein of Video Games," an honor I accept, as I live less than a mile from her childhood home in Oakland, CA. I was project lead on the first successful institutional preservation and rebooting of the first massively multiplayer game, Habitat, for the C64, from 1986: https://neohabitat.org . I've consulted and collaborated with the NY MOMA, the Oakland Museum of California, Cisco, Semtech, Twilio, Game Developers Conference, NGNX, the Anti-Defamation League, the Library of Congress and the Oakland Public Library System on projects, contracts, and exhibitions.
