《F5:2023年应用策略现状报告(30页).pdf》由会员分享,可在线阅读,更多相关《F5:2023年应用策略现状报告(30页).pdf(30页珍藏版)》请在三个皮匠报告上搜索。
1、2023 年应用策略 现状报告 BUY目录03引言:拥抱“和”的力量05混合 IT 模式将 无限期存在13数字化转型不再局限于 IT 部门,而是上升为 业务战略20时间压力被纳入 安全战略考量27结论:不堪重负的 IT 团队迎来希望2023 年应用策略现状报告2BUY引言拥抱“和”的力量2023 年应用策略现状报告3在当今的全球文化中,成功意味着打破地理和其他边界,克服冲突,接纳多元化,并整合人员、想法、机遇和资源。在个人层面也是如此,我们大多数人都同时扮演着多种角色:专业人员、家庭成员、邻居、业余爱好者、本国国民和全球多元文化社区的公民。企业也是如此,需要连接分散于各处的资源和人员以实现互补
2、性目标。要想出色地胜任各种角色,个人和企业必须具备敏捷性,而这离不开应用和 API 所带来的快速、高效的数字体验。混合 IT 模式具有挑战性,但可持续存在。如今,40%的应用是现代应用或是使用现代组件;十分之九的企业正在实施数字化转型,以提升现代化水平,和更好地整合 IT 堆栈,同时充分利用边缘的性能和交互潜能。第九次年度 F5 应用策略现状调查还得出了一些更令人惊讶的结果,或许会引出一些有价值的洞察和讨论,有助于指导企业制定业务战略。今年的一个特别发现是,IT 堆栈将总体保持混合模式,其计算、网络、存储和应用等能力将广泛分布在核心、云端和边缘环境中。不只有云可以被视为“混合”。企业将继续管理
3、多个不同的技术堆栈,并支持不同代次的基础设施和应用。(举个熟悉的例子,即使在电子邮件、短信和应用盛行的时代,传真机市场仍然价值数十亿美元。)许多负责企业架构的首席信息官都将意识到需要多方面权衡。他们必须开展数字化业务以满足客户期望 这可能意味着采用新兴技术,同时还要兼顾资源限制、技术债务的挑战以及企业对稳定性、弹性和有效变革管理的需求。因此,IT 专业人员必须更加熟练地应对不同的系统和技术。好消息是,混合 IT 模式已被证明是可持续的 就像我们生活中许多其他方面的混合角色和兴趣一样,其中关键词是“和”,而不是“或”。业务发展速度和长期增长将依赖于能否找到方法以实现应用与 API 的跨位置连接和
4、保护,并减少对复杂混合环境的管理。这一现实正在重塑应用安全和交付。F5 对 IT 决策者的最新年度调查揭示了哪些做法正越来越受欢迎,企业为什么需要紧跟那些推动和引领混合 IT 未来发展方向的人或组织的步伐,以及可能需要采取哪些措施。的企业运营着多个应用架构和多个办公地点2023 年应用策略现状报告401混合 IT 模式将无限期存在2023 年应用策略现状报告5今年的数据强有力地证明:混合 IT 模式将持续存在。受访者表示,他们只有 15%的应用部署在单一环境中。大多数应用的分布范围更为广泛 超过五分之一的应用托管在六种不同的环境中。为了实现应用特定的目标,企业通常会视应用做出不同的托管决策。他
5、们已经意识到,单个环境无法满足其需求。有些应用需要托管在本地数据中心,有些则需要托管在单个或多个云中,以确保速度、可扩展性和效率。应用分布范围广泛一个两个三个四个五个六个部署环境18%24%15%21%10%13%2023 年应用策略现状报告6公有云部署距离无处不在还很遥远。我们还发现,公有云幻想(和炒作)与现实存在着巨大的鸿沟。五年前,2018 年,74%的受访者表示他们计划将“多达一半”的应用部署到“云端”。两年后,2020 年,仅四分之一左右的受访者落实了这些计划,但云计算仍然是迄今最值得关注的技术趋势。再往后推三年,今天,只有不到一半的受访者(48%)表示他们目前仅有一些应用部署在云中
6、;平均而言,企业只在云中部署了 15%的应用产品组合。阻碍公有云部署的考虑因素可能包括对数据控制、安全性或规模成本的担忧。业务连续性是首要公有云用例。对于许多企业来说,公有云仍是一个不错的选择,特别是当考虑到备份和业务弹性时,但它不一定是托管应用的首选。本地部署才是首选 经过一段时间的整合,部署风向逆转,本地部署又卷土重来。本地部署仍是当今应用架构的基础。经过多年的下降之后,托管在传统本地数据中心的应用比例较 2022 年增长了两个百分点,达到 37%。本地部署占比则超过一半,这是因为虽然很多人将本地数据中心视为单体环境,但实际上传统环境和云环境都位于本地。尽管许多其他部署模式(例如公有云和
7、SaaS)近年来迅速崛起,但在 2023 年都趋于平缓状态或呈轻微下降态势。公有云主要提供弹性调查问题:您是如何使用公有云(IaaS)的?请选择所有适用项。调查结果:备份和灾难恢复是大约一半使用公有云的受访者的首要用例。业务连续性开发生产全球扩张/布局53%52%50%30%2023 年应用策略现状报告7回迁(repatriation)是这一趋势的驱动因素之一。应用回迁率连续第二年居高不下,超过三分之一(43%)的受访者表示他们最近已经或计划近期回迁应用。54%的回迁应用的受访者表示,控制多云环境中的应用泛滥是其首要动机。金融服务、电信和技术行业对回迁的热情尤其高昂 这些行业可能部署了多个云,
8、想必也最有可能拥有高效管理本地应用所需的技能。本地部署以绝对的优势领先于下一个最常见部署模式。私有云只托管了 17%的企业应用组合,还不到本地数据中心托管数量的一半。SaaS 产品以 16%的占比紧随其后(尽管从技术上讲,它是一种消费模式,而不是部署模式)。因此,应用部署整体呈现出以本地数据中心为主的混合多样性。现代应用架构无处不在。应用架构也呈混合模式。受访者或运行着现代应用或使用 SaaS 或兼具两者。受访者表示,无论它们部署在何处,平均超过三分之一(40%)的应用组合(不包括 SaaS)可以被称作现代应用,其中包括移动应用和微服务的使用。该比例一直按预期稳步增长,预计到 2025 年将超
9、过 50%(可能达到 60%)。但今天几乎所有的企业 95%的企业 仍然还在运行传统应用。由此可见,绝大多数(85%)的企业都面临着管理和保护现代与传统应用的挑战,而且通常需要跨各种托管环境。多云环境将持续存在调查问题:在 您 目前部署的应用中,采用以下部署模式的占比大概是多少?请输入比例,总计 100%。调查结果:应用位置多样化已成常态。SaaS本地云本地数据中心 公有云托管中心边缘在已部署的企业应用产品组合中的占比37%15%9%16%6%17%2023 年应用策略现状报告8随着应用组合日趋现代化,我们预计同时管理现代和传统应用的企业比例将会下降。这一比例可能已在 2022 年达到了峰值(
10、88%)。但该比例也不太可能骤降至零,因为采取谨慎性现代化改造方法的首席信息官们将保留仍能够继续创造价值并满足关键业务需求的传统应用。当谈到传统应用的淘汰问题时,59%的受访者表示他们正通过构建现代版本来替代它们。制造业和政府部门的组织最有可能构建自己的应用。同时,大约 46%的组织,尤其是医疗保健企业,正在使用厂商提供的 SaaS 产品来替代传统应用。实际上,他们通常会将现代化改造工作外包出去,并且少构建多部署,以加速获取价值。五分之一的组织期望停用不再需要的应用。但 16%的受访者表示尚没有计划淘汰传统应用。这些应用可能仍提供核心业务功能,例如在银行或保险业。在能源、医疗保健或电信等行业,
11、更新缓慢的监管要求往往会造成技术锁定,高达 33%的受访者期望保留传统应用。因此,纵观各行各业,现代应用在整体组合中的占比可能会在这十年中达到 85%左右。而且其中相当大的一部分可能是仅仅为了与传统应用进行交互而连接的微服务。简而言之,在可预见的未来,大多数首席信息官将面对分布在混合环境中的混合应用架构和多代应用。现代应用架构继续增长调查问题:在您目前部署的所有应用中,属于以下类别的占比大概是多少?请输入比例,总计 100%。调查结果:现代应用架构占整体组合的近一半。29%71%34%66%33%67%40%60%20223传统现代2023 年应用策略现状报告9应用安全和
12、交付技术也呈分布式。同应用本身一样,支持应用安全和交付的技术也分布在各种环境中。关于特定技术(有时被称作应用服务)部署位置的决策往往取决于这些技术的用途。此外,环境本身也会对理想的技术或形态有影响。举例来说,Web 应用防火墙(WAF)硬件可能最适合本地数据中心,而安全即服务(SECaaS)则能够为部署在云端的应用提供更有效的保护。在其他情况下,安全服务最好部署在尽可能靠近用户的位置,因为及时拦截攻击可以防止资源被过度占用,而七层路由服务则最好部署在距离应用本身最近的位置。正因如此,通常需要在混合环境中部署多种应用安全和交付技术。应用安全技术尤其有可能部署在云中。因此,大多数(59%)的受访者
13、将这些服务部署在本地,还有同样比例的受访者至少在云中部署了一项服务。对于安全技术来说,云端部署尤为常见。但通过第三方 SaaS 提供应用安全和交付技术的做法也越来越受欢迎,是下一个最常见的部署方式。近三分之一(30%)的受访者使用这种方式,这种方式可帮助他们在云端或其他环境中增加和扩展应用,而不增加复杂性或减少控制。无论它们托管在何处,随着企业不断推进数字化转型并竭力在数字化速度与安全性和运维稳定性之间取得平衡,应用安全和交付技术的使用将不断增加。身份和访问管理(IAM)技术,例如 SSL VPN、单点登录(SSO)和身份联合,是目前最常部署的应用服务,但自 2017 年以来,不同应用服务的部
14、署数量总体增加了一倍多。当应用提供的数字服务不仅影响企业形象,还关乎企业命脉(或者更准确地说,企业盈利)时,应用服务的重要性就不言自明了。受访者最依赖身份和访问技术身份/访问性能可用性移动性81%75%71%70%安全性68%2023 年应用策略现状报告10多云挑战继续存在,但也有解决之道。鉴于这种分布式混合环境,近 90%的在多云环境中运营的受访者提到在多云安全、性能和成本方面面临挑战也就不足为奇了。2023 年面临的首要挑战是由于不同部署模式所采用的工具缺乏标准化或互操作性,从而造成的管理多个工具和 API 的复杂性。执行一致的安全策略连续第二年成为最大挑战,性能优化则紧随其后。日益扩大的
15、 API 攻击面加剧了多云挑战。正是因为这些挑战,美洲和欧洲、中东和非洲地区(EMEA)的企业将多云网络称作未来几年最值得关注的趋势,而在其他地区和全球范围内其他趋势的排名则略高。值得注意的是,亚太、中国及日本地区(APCJ)的受访者对 IT 和运营技术(IT/OT)的融合更加感兴趣。这可能有助于该地区巩固其作为全球制造中心的地位,同时也说明了该地区需要更好地整合机械控制与其他业务系统以提高效率。目前可用于连接、保护和管理多云现实的其他解决方案包括提升自动化、采用生态系统方法,以及在合作伙伴的帮助下整合面向分布式应用的工具和策略执行,从而实现简化。可提供一致安全防护的声明式部署策略能够将安全防
16、护扩展到全局,同时帮助消除职能孤岛之间的摩擦。而且,由于混合 IT 模式不会消失,因此可简化多云管理的解决方案将对大多数企业越来越有帮助。复杂性是首要的多云挑战调查问题:您目前在多云环境中部署应用时面临哪些挑战?请选择所有适用项。调查结果:复杂性和安全问题继续存在,而在 2022 年排名第一的可视化问题下降到第七名。管理多个工具和API 的复杂性执行一致的安全策略为应用确定最经济高效的云优化应用性能39%36%36%35%应用迁移34%合规性30%应用运行状况的可视化29%缺少合适的技能27%控制应用泛滥25%现在无挑战10%其他3%2023 年应用策略现状报告11F5 洞察今天,大多数企业都
17、希望降低基础设施的复杂性,延长所选基础设施的生命周期,整合部署环境,并减少对多个单点解决方案的需求。但是,当他们进行现代化改造、回迁应用,以及扩展应用组合时,他们通常不会消除体系架构或应用程序分发本身,而只是改变比例、每种环境的用途以及由此产生的挑战的性质。此外,我们预计到 2030 年现代应用架构在整体应用组合中的占比将高达 85%,届时这些架构的增长将随着更新架构的出现而放缓或停滞,同时“混合”的含义将发生变化。由于成本、控制、延迟、业务连续性和扩展能力是企业长期关注的问题,因此他们总能找到充分的理由来保留多个部署选项。没有哪个环境能够满足所有用途,或以同等的程度满足多个目标。这对您有何意
18、义数字业务需要一个自适应 IT 基础设施以实现目标,企业需要解决方案以化解在混合以及多云环境中运营的挑战。否则,他们将需要把更多的时间和资源放在管理复杂性上,而非构建数字体验以提升业务水平上。如果企业能够找到方法减轻混合 IT 模式所带来的复杂性负担,则能够获得更高的效率、更低的成本、更出色的安全性和具有更快的上市速度等诸多竞争优势。要想取得成功,企业必须具备:IT 从业者不应局限于自己的专业领域,而应在系统和技术领域得到熟练掌握。使用诸如网站可靠性工程(SRE)之类的流程方法论。使用声明式部署策略等工具。使用跨部署模型的应用程序安全和交付技术,可以作为服务交付,并在组织的所有分布式应用程序和
19、架构中始终表现出色,包括其作为 SaaS 获取的应用程序。这些技术不仅适用于当前的架构,还可以随着架构的变化而适应。对于许多企业来说,轻松实现这些目标的关键在于选择正确的合作伙伴,通过他们的解决方案扩展多云网络的连通性,以保护并交付分布在各种云、数据中心和边缘位置的各种应用和 API。2023 年应用策略现状报告1202数字化转型 不再局限于 IT 部门,而是 上升为业务战略2023 年应用策略现状报告132023 年,各行各业大约十分之九的受访者表示正在实施数字化转型项目,而三年前这一比例仅为三分之一。虽然混合世界里的数字化转型已不再是新鲜事,但由于以下两个原因它仍然值得关注。在个人层面,它
20、几乎影响着每一个人,从杂货店的顾客到政治抗议者再到全球慈善机构救助的儿童。在业务层面,它可以帮助提高效率、创造机遇、改善客户体验和关系以及加速组织扩展。这些优势使得数字化转型成为了组织的顶级业务战略,而不只是 IT 部门关心的问题。现代化改造为当今数字化转型注入动力。当涉及到如何实现这些优势时,现代化改造目前是主角。正如我们之前提到的,数字化转型分为三个阶段:任务自动化、数字化扩展(包括自动化扩展和整合),以及由遥测技术、人工智能(AI)和机器学习(ML)提供辅助的决策。第二阶段包括现有系统和应用的现代化。2023 年,此类活动将占主导地位。事实上,超过十分之八的企业目前正在实施现代化改造和数
21、字化扩展。比疫情之前增加了一倍多。疫情之前只有略高于三分之一(37%)的企业采取这些举措。新冠疫情将数字化转型提速了数年。当前的现代化改造活动包括开发现代应用,以及为提供核心业务功能的传统应用添加现代组件,以改变这些应用的访问和体验方式。这些例子包括与基础业务逻辑进行交互的移动应用(银行和保险等行业),或者支持订单录入和跟踪以控制制造设备的现代组件集成。现代化改造几乎影响到每个人阶段 1任务自动化:应用27%阶段 2数字化扩展:现代化81%阶段 3人工智能辅助业务:数据和分析54%2023 年应用策略现状报告14虽然有超过一半的企业处于数字化转型的第三阶段,即人工智能辅助业务阶段,但这一比例较
22、 2021 年有所下降,可能有两个原因。以生产规模实施人工智能或机器学习的挑战让他们望而却步。一般来说,数字化转型是一个不断迭代的过程。企业通常同时处于所有这三个阶段,或者在一个阶段取得进展后再回到前一个阶段以提升自动化水平。特别是就人工智能辅助而言,看似退步实则能够为另一次的跃进奠定基础。这也就是为什么处于第一阶段任务自动化的企业比例较 2020 年的 46%所有下降,但随着企业对更多后台功能进行自动化,这一阶段可能会持续一段时间。IT 运维仍然是数字化转型的重中之重。近三分之二(64%)的受访者正在对 IT 运维进行现代化,这一比例甚至超过前几年。现代化改造势在必行,不只是为了支持人工智能
23、辅助,还为了确保 IT 团队的负担可管理,因为全企业转型会增加对有限 IT 资源的需求。相关 IT 流程也必须进行现代化,以防止出现瓶颈。更高的自动化通常与更高的 IT 效率相关。对这一需求的意识还体现在超过一半(59%)的受访者计划采用站点可靠性工程(SRE)实践上,即使用数字工具和自动化来扩展和增强运维。IT 功能的自动化程度不尽相同调查问题:您的哪些 IT 功能实现了自动化?请选择所有适用项。调查结果:应用安全和交付自动化仍蕴藏着巨大的机遇。应用和API 安全33%应用交付29%应用基础设施55%网络基础设施44%网络安全54%系统基础设施61%2023 年应用策略现状报告15但提高 I
24、T 效率的主要途径是自动化,而非现代化。以下六项核心 IT 功能均可实现自动化:系统基础设施、网络基础设施、应用基础设施、网络安全、应用交付和应用安全。目前大多数自动化都是针对系统基础设施、网络安全和应用基础设施而言。系统基础设施的自动化,例如虚拟机和 Kubernetes 的使用,得益于虚拟化的日益成熟以及行业对容器生态系统的强大支持。网络安全的自动化正日益地被卸载至服务模式,由人工智能和明确定义的使用场景提供支持。应用基础设施的自动化可帮助保护应用并加快部署,由安全威胁以及缩短新特性和应用上市时间的需求驱动。三分之二的企业表示他们提高了 IT 效率 这在 2018 年被列为数字化转型的首要
25、潜在优势。五年后,这一潜在优势逐步显现。平均而言,IT 效率得到提高的受访者至少在六个方面中的三个实现了自动化。同时,他们提到在活动和自动化成熟度最高的三个方面,即系统和应用基础设施以及网络安全,获得了最大的效率优势。但由于更高的自动化通常与更高的效率相关,因此寻求竞争优势的企业最好在所有六个方面都实现自动化。对于以数字化运维为主的企业来说,回报尤为可观。传统制造运维需要投入固定成本,从设备到仓库空间的资本投资。实体零售企业面临类似的固定成本问题。数字化转型的优先事项悄然转变调查问题:哪些业务职能是您的数字化转型计划的优先事项?请选择所有适用项。调查结果:自 2021 年以来,业务职能和整体运
26、维的数字化转型都所有增长。IT 运维60%57%64%业务职能60%56%69%面向客户51%67%52%整体运维39%29%N/A2022202120232023 年应用策略现状报告16相比之下,对于数字化企业,即使是以在线销售为主的零售商,可变人工和 IT 费用通常是一笔重要甚至是主要的“产品”(通常是服务)成本。在这种情况下,IT 效率的提升直接影响盈利。数字化转型有利于企业的方方面面。当然,IT 效率并不是自动化的唯一优势,现代化的优势也适用于其他业务流程。虽然客户服务仍然是现代化改造的重要优先事项,但在过去的两年里,对面向客户的应用和流程(包括销售和营销)的重视程度明显降低。部分原因
27、可能是已经在这些领域开展了大量的工作,但同样明显的一点是,领导者正日益将注意力转向低效的内部流程和孤岛式的传统应用,以确保在当今不确定的经济条件下它们不会拖累绩效。因此,数字化转型正日益触及并加强企业的各个方面,从客户互动和关系管理到产品设计和开发,再到制造和其他业务活动,包括管理风险和所有员工生产力的人力资源和法律职能。这种全面影响解释了为什么要想在迅速数字化的世界中保持竞争力就必须对整个企业进行现代化改造。幸运的是,近一半的实施数字化转型的受访者表示,整个企业的运维效率都得到了提高,而不仅仅是在 IT 部门。这将帮助提高员工整体生产力和客户满意度。同样地,近三分之一的受访者表示预算内收入和
28、新的业务机会都有所增加。数字化转型后的运维效率调查问题:数字化转型给您带来了哪些优势?请选择所有适用项。调查结果:三分之二的受访者不仅提高了 IT 运维效率,还获得其他显著优势。应对外部因素的弹性竞争优势新的业务机会增加的收入客户满意度25%30%31%32%41%员工生产力提升42%IT 工作与业务成效的匹配度更高47%业务运营效率49%IT 运营效率66%2023 年应用策略现状报告17没有一刀切式的转型旅程。企业是否已从数字化转型中获益或许能够反映其业务模式的数字化程度。如今,超过四分之三(79%)的受访者表示他们为消费者、其他企业或两者提供数字服务。只有五分之一(21%)的受访者只为自
29、己的员工提供数字服务。但是,虽然几乎所有的受访者都提供数字服务,但只有一半多(58%)的受访者利用数字服务来大幅推动业务发展,并且数字服务占企业年收入的一半或以上。此外,主要依赖盈利性数字服务的企业和主要通过模拟交互创收的企业存在明显不同。具体而言,与其他企业相比,数字创收企业更有可能:运行现代应用产品组合。部署各种应用安全和交付技术。将公有云用于任何用途,特别是用于生产,以在全局层面快速扩展基础设施和应用,并确保业务连续性。购买 SaaS 和 SECaaS。将边缘用于任何用途 被用于改善客户交互的可能性高出两倍。换而言之,超过一半的企业正在实施数字化以与最新的 IT 技术保持同步。剩余一半则
30、可能优先考虑其他需求,并将有限的资源用于从地理扩张或产品开发到安全防护等其他用途。这需要多方面权衡。此外,即使是在同一行业也不会有两家企业同时关注相同的优先事项,或者在关注相同优先事项的同时取得同样的进展。也就是说,当代生活的数字化不太可能逆转。首席信息官和其他公司领导者应着眼于自己的目标,并谨记一旦大幅落后于技术发展最新水平或拘泥于模拟创收模式,日后可能很难赶上。现代化改造旅程路途漫漫,对每家企业来说不尽相同,但明智的首席信息官总会想方设法不断前进,以避免落后他人。的企业至少有一半的收入来自于数字服务我们将数字服务定义为应用、API、应用交付和安全技术以及数据和其他资源的集合 它们被无缝地整
31、合在一起,通过打造数字体验,为提供这些服务的企业带来业务成效。具体示例包括从零工应用和员工时间报告到数字媒体订阅、移动机场登机和移动支付。它们可免费(单独收费)或通过各种计费模式(包括按需、按需付费或订阅)提供给客户。2023 年应用策略现状报告18F5 洞察无论数字服务可带来多少收入,企业要想在未来的应用和 API 驱动型经济中立于不败之地,就必须紧跟可以最有效地将数字服务货币化的活动、技术和战略。其中一个主要原因是,没有哪家企业能够承受被竞争对手赶超的后果。即使是最传统的行业未来也有可能增加数字服务。从新型虚拟教育产品到老年人护理机器人,再到无人机辅助资源开采,一切皆有可能。无论企业是否主
32、要依赖于数字体验,都仍将面临着可能损害企业声誉或招致监管处罚的重大安全或运维风险。与满足于现状的领导者相比,投资自动化和现代化以提高效率的领导者将在创新方面占据更有利的地位,并有可能在风云变幻之际超越竞争对手。这对您有何意义即便 IT 运维团队尚未实现自动化的系统基础设施、应用基础设施和网络安全,企业也能获得巨大优势 许多竞争对手可能已经在利用这些优势了。走在前列的组织还应探索其他三种核心 IT 功能的自动化:网络基础设施、应用交付和应用安全。在这些方面获得不寻常的效率提升将带来显著的竞争优势。特别是应用交付以及应用和 API 安全自动化,能够给大多数企业带来巨大的商机。当然,在这些方面实现自
33、动化可能更具挑战性,因为不同应用所处的环境往往各不相同,所以无法简单地使用现有的资源或工具。但是,与其他核心 IT 功能的自动化相比,这些方面的自动化与提高客户满意度、增加收入和把握新商机有着更密切的联系。这些潜在优势超越 IT 效率,可影响整个企业,值得您为之付出努力。最后,越来越显而易见的是,作为这种自动化和现代化的一部分,追求长期成功的企业需要使用集成的应用安全和交付技术,包括先进的自适应保护,以帮助连接从核心到边缘的应用。基于 SaaS 的解决方案所带来的超快响应速度和易管理性可以帮助企业在数字化速度与控制和性能之间取得平衡,确保网络应用和 API 以及托管这些应用的基础设施安全无虞。
34、2023 年应用策略现状报告1903时间压力被纳入安全战略考量2023 年应用策略现状报告20保护这个快速现代化的混合数字世界只会变得愈来愈困难。在日趋由应用和 API 驱动的经济中,如何成功地检测和规避新兴威胁,同时不增加摩擦而影响客户体验,其中的风险和回报平衡堪称一场战略马拉松。网络安全运维也必须以冲刺的速度狂奔,以始终领先于快速演变的攻击。这种对快速适应的需求正在影响安全战略。举例来说,转向 SECaaS(一种快速修复新攻击和漏洞的成熟手段)的企业将速度视为最重要的驱动因素。承担安全防护或 SRE 和 DevOps 职责的人员尤其有可能考虑速度。当然,SECaaS 还具备其他优势,可提供
35、专业的安全防护,同时简化运维和管理。这可能会促使面临技术人员缺口的企业采用 SECaaS。因此,更多的企业正依赖其 SaaS 提供商来快速提供安全服务,比内部人员更迅速、更专业地跟上并拦截新兴威胁。不过,仍在自己处理安全问题的企业也并非停滞不前。这点可以从疫情伊始到今天的应用安全技术的部署中看出:API 网关的使用翻了一番多,从 35%增加至 78%。ID 联合部署从 52%增加至 75%。端点安全防护从 65%增加至 86%。安全 Web 网关(SWG)服务从 61%跃升至 85%。WAF 的使用从 66%增加至 82%。应用安全技术部署的这一增长反映了人们愈发意识到,在变化多端的威胁环境中
36、这些技术在快速修复风险方面发挥着重要作用。SECaaS 的速度别具吸引力调查问题:您使用安全即服务(WAAP、WAF、DDoS、API 保护等)的主要原因是什么?请选择一项。调查结果:主要原因是威胁缓解速度。应对新兴威胁的速度缺乏内部人才/技能用户位置应用位置企业对运营支出的关注42%18%18%17%6%2023 年应用策略现状报告21企业积极拥抱零信任模型。速度也是零信任安全模型兴起的一个因素,该模式可以超越各种架构和混合部署,简化开发和部署流程的安全防护。超过 80%的受访者表示他们已采用或计划采用零信任模型。事实上,零信任与 IT 和运营技术的融合(IT/OT)并列成为未来几年最值得关
37、注的全球趋势,高于 2022 年的第三位排名。超过 80%的企业采用了 零信任。此外,零信任模型的持续验证可防止攻击者在会话期间发起攻击或者胁迫性地使用任何授权访问来获取未经授权的资源。这种以身份为中心的安全防护方法可缩短新攻击特性和应用的上市时间,并帮助避免必须手动缓解或修补的漏洞。这在一定程度上推动了 IAM 技术的部署。更快的响应速度还推动了人工智能/机器学习在安全防护方面的应用。近三分之二的企业计划(41%)或已实施(23%)AI 辅助。已使用人工智能或机器学习的企业将安全防护视作首要用例,而计划使用人工智能或机器学习的企业则将安全防护视作主要驱动因素。(其次是人工智能运维。)同样地,
38、速度需求也促使企业竭力实现自动化。这一需求显而易见:自动化助力的应用开发速度显著加快,而安全和风险管理仍需要大量的人工操作、监督和干预。但企业正不断取得进展。2023 年,网络安全的自动化程度在六大核心 IT 功能中排名第三,紧随系统基础设施之后。正日益被卸载至服务模式的网络安全也从人工智能的应用中受益匪浅。2023 年应用策略现状报告22平台和零信任常常相辅相成。近十分之九(88%)的受访者表示他们的企业正在采用安全平台,几乎相同比例的受访者表示他们的企业计划采用零信任模型。两种趋势交错重叠,都反映了保护混合多云世界的复杂性。但平台安全也满足了企业限制不同解决方案和厂商泛滥的愿望,同时仍能够
39、为混合基础设施、传统和现代应用以及分布式 API 提供一致的安全防护。为外部用户提供数字服务的企业特别有可能采用平台方法。美洲地区和科技行业的企业也很有可能采用平台方法,这可能是因为这些受访者也更有可能需要全球布局和扩展。就应用方式而言,平台方法是最常用的基础设施保护方法:几乎三分之二(65%)的受访者希望使用平台进行网络安全或身份和访问管理。这得益于专为保护基础设施而开发的平台已问世一段时间了。但还有一半(50%)的受访者正迁移至平台以从数据中心到边缘来保护网络应用和 API。另有 40%的受访者希望使用平台来满足业务安全需求,例如防 Bot 和反防欺诈解决方案。无论保护对象是什么,对于 4
40、0%的受访者来说,应对新兴威胁的速度尤其重要。他们使用生态系统方法来选择他们的安全平台。生态系统方法(例如公有云提供商依赖于合作伙伴市场)具备两大优势。首先,从多个供应商中选择,使企业能够选择与该生态系统兼容的最高效率的解决方案。其次,悉知公有云提供商会持续提供面向生态系统中第三方的基本集成,帮助企业缩短安全解决方案实现价值的时间。安全平台主要针对基础设施调查问题:当您考虑安全战略时,是否采用平台方法?请选择所有适用项。调查结果:近 90%的受访者正在采用平台方法,并且许多受访者计划使用平台来保护多个领域。是的,用于基础设施(网络安全、身份和访问)是的,用于应用/API是的,用于业务(反滥用、
41、反欺诈、防 Bot)不使用平台方法没有安全战略65%50%40%8%4%88%的受访者使用平台方法来保护至少一个领域12%的受访者不采用平台保护方法2023 年应用策略现状报告23有趣的是,高级 IT 经理特别青睐生态系统方法,而 SecOps 团队则偏好单一厂商安全平台。造成这一差异的原因可能是,在企业中职位更高的人员能够更敏锐地意识到 IT 功能分散的不良影响。安全服务是最常见的边缘工作负载,但监控的增长速度最快。安全防护是首要边缘工作负载。在所有规划边缘工作负载的企业中,一半的企业希望将安全工作负载部署在边缘。但在目前采用零信任策略的受访者中,近三分之二的受访者计划在边缘部署安全工作负载
42、,这是因为他们认识到,要想全面执行零信任并充分发挥其优势,就必须利用边缘来保护每个端点。但是,虽然安全服务是首要边缘用例,但监控是自 2022 年以来增长速度最快的边缘工作负载。这可能要归因于多种因素:远程办公的崛起、层出不穷的物联网应用、应用广泛分布的趋势、当今市场的全球化,以及对 IT/OT 融合(将依赖实时数据来指导流程调整)的强烈需求。安全是首要的边缘工作负荷调查问题:您计划在边缘部署哪些类型的工作负载?请选择所有适用项。调查结果:安全是首要的边缘工作负载,但监控的增长速度最快。安全服务数字体验应用性能数据处理监控50%44%42%46%34%45%42%45%20%32%202320
43、222023 年应用策略现状报告24更多企业需要采用安全软件开发生命周期。然而,无论将这些工作负载托管在何处,都必须在部署之前实施强大的安全防护。因此,四分之三(75%)的受访者已采用或计划采用安全软件开发生命周期(SDLC)。这充分体现了安全和风险管理不是一件“一劳永逸”的事情,例如并非只能在基础设施或应用部署层面进行安全和风险管理。相反,全面、一致的安全防护需要 IT 和业务人员多方面的持续协调努力。在应用开发阶段就解决安全问题不仅能缩短日后改造所需的时间,还有利于遭到攻击后的缓解。不过,与 4%的根本没有软件和业务安全战略的受访者相比,少数尚不考虑 SDLC 的企业安全状况还是更好些许,
44、可谓聊胜于无。幸运的是,大多数企业都更加积极主动,并且关注上游安全防护以规避所有潜在风险。举例来说,对软件供应链安全的担忧正通过各种方式得到解决。最受欢迎的方法是采用持续审计周期。超过三分之一(36%)的企业正在构建 DevSecOps 实践。还有大约三分之一(38%)的企业正在对开发人员进行安全编码实践方面的培训。金融服务和医疗保健行业的企业最有可能以某种方式解决软件供应链安全问题,想必大家对此并不感到意外。同时,近五分之一(18%)的企业显然对软件供应链安全漠不关心,也没有制定计划来解决这个问题。软件仍是一个安全风险调查问题:您的企业是如何解决软件供应链安全问题的?请选择所有适用项。调查结
45、果:大多数企业都采取了至少一种方法,但也有近五分之一的受访者没有采取措施来解决软件供应链风险。采用持续审计周期在所有厂商合同中增加风险评估对开发人员进行安全编码实践方面的培训构建 DevSecOps 实践移除所有开源软件无解决措施45%41%38%36%15%18%82%的受访者正在解决软件供应链安全问题2023 年应用策略现状报告25F5 洞察在当今的混合世界中,确保业务安全比以往任何时候都更加艰难,实施一致的安全策略尤其困难,却也是提升速度、敏捷性和弹性的关键。虽然零信任策略与网络或基础设施安全越来越相关,但身份管理技术(包括使用身份验证和授权来保护 API 安全)仍然被视为最重要的应用安
46、全防护方法。为了支持这些应用,安全和身份技术成为最有可能在楼宇和云中部署的应用服务。随着企业不断挖掘边缘性能和连接潜能,这些技术也越来越多地被定位在边缘。虽然更多安全工作负载被部署在边缘,但预计在不同环境中的部署速率差异将不断缩小,因为应用技术,特别是安全技术对于应用和 API 部署必不可少。这对您有何意义安全防护可能会成为一大数字差异化优势,支持应用开发团队加快创新速度,而不加剧风险或在 IT 功能之间造成摩擦。零信任模型、身份管理、安全软件开发以及其他安全战略和方法能够而且应该共存。企业应考虑将零信任的概念扩展到其软件开发流水线中的工具,包括代码库。要想让伺机而动的攻击者知难而退,企业不仅
47、需要严守门窗,还需要保护其他可能的入口。因此,企业需要开发并遵循 SDLC 等软件安全流程。只有解决每一个可能的薄弱点,IT 领导者才能有效保护数据、客户和业务。API 安全防护不再局限于在数据路径中的传统使用就印证了这一点。现在还出现了针对东西向通信的创新 API 安全解决方案,例如通过 POST 代理。这些创新解决方案可确保企业领先于攻击者,并将 IT 资源从人工调节中解放出来,以加快业务发展。此外,应用及其底层的 API 结构与其构建、部署和运行所在的基础设施同命相连。使用不受环境限制的解决方案、消费模式和厂商来保护分布在各个位置的应用和基础设施将是获得全面安全防护,进而获得出色弹性和灵
48、活性的最简单方法。举例来说,对于具有迫切缓解需求、内部安全专业知识有限或运营支出优先于资本成本的企业来说,SECaaS 或许是一个特别有用的选择。为部署在任何位置的任何应用和任何 API 实施统一安全策略的能力至关重要。安全平台,包括基于 SaaS 的服务,可帮助企业保护从核心到边缘所有托管环境中的混合应用和 API,并确保策略的一致性、广泛的可视化和简化的管理。此类方法可通过 WAF、DDoS 防护以及与基于行为的入侵防范和整个安全堆栈的攻击防御相集成的 Bot 防御,保护现代和传统架构以及混合应用。这种跟上业务发展速度的有效安全防护可切实保护最重要的资产,同时充分释放企业的发展潜力。202
49、3 年应用策略现状报告26结论不堪重负的 IT 团队迎来希望2023 年应用策略现状报告27随着应用组合的日益现代化,企业将继续调整其部署架构,以平衡运维和市场需求并在本地、云端(无论是私有云、公有云还是两者)和边缘环境之间实现合理的分布,以及确定哪些应用使用 SaaS 消费模式。他们肯定会尽可能地进行整合。尽管如此,预计绝大多数企业将无限期地使用混合云和多云模式。技术变革的速度、技术债务的权衡,以及大多数企业必须兼顾两代或三代技术的事实都支持这一观点。这些技术可能会相互赶超,就像手机已占领只有很少或没有固定电话的市场一样,但多种模式将会共存。或许更重要的是,混合模式为部署决策提供了极致的灵活
50、性,此类决策通常是根据应用特定的需求、优势和目标做出。考虑到上市速度角逐压力和客户满意度的重要性,大多数企业将继续关注敏捷性、速度和优化数字体验的能力。现代应用和微服务支持必要的连接,例如处于业务核心的传统单体应用与移动界面之间的连接。因此,多云、分布式部署和混合 IT 堆栈的挑战将以各种各样的形式继续存在。不过,不堪重负的 IT 团队已迎来希望。更高的自动化,由声明式部署策略执行的一致安全层,人工智能/机器学习在 IT 运维中的应用,以及 SRE 等标准化方法以及正确的技术、解决方案和合作伙伴可帮助企业克服复杂性,提升业务速度。边缘实时监控的持续增长以及更好的遥测解决方案能够为 AIOps
51、提供支持以减少人工管理。零信任安全方法和跨环境平台可以连接并保护部署在各个位置的应用和 API 以及支持它们的基础设施。抽象层,例如应用安全和交付技术所利用的抽象层,可以突破边界,为更集中的简化连接和控制提供纽带。绝大多数企业将无限期地使用混合模式。没有哪家企业拥有实现所有这些目标所需的全部专业知识,深耕混合世界的业务伙伴可提供重要价值。F5 等技术提供商可以帮助企业化繁为简,获得全面的保护和一致的性能。正确的合作伙伴可以帮助您交付和保护广泛分布在混合 IT 堆栈中的基于各种消费模式(包括 SaaS)的现代和传统应用。通过合作,我们可以让您所处的混合世界更便利、更安全、更有价值。2023 年应
52、用策略现状报告28关于本报告在今年的调查中,来自世界各地的 1,000 多名 IT 决策者与 F5 分享了他们的优先事项和关切点。今年,来自亚太、中国及日本地区的受访者占有很大比例。与往年一样,受访者来自广泛的行业,其中来自政府部门的受访者占比增加,而来自技术公司的受访者占比则略显不足。数据来自于担任各种 IT 和管理角色的人员 从高管到应用开发人员,并且业务应用所有者较往年有所增加。F5 由衷地感谢各位受访者花时间分享他们的工作、兴趣以及对数字化转型的见解。技术金融服务制造业和资源分销和服务,包括零售、批发、运输和媒体政府/公共部门云服务提供商电信教育其他医疗能源/公用事业行业占比9%10%
53、10%11%8%8%6%4%4%17%13%IT 领导者网络数据科学运维其他安全性业务领导者业务或技术应用所有者云或企业架构师站点可靠性工程师(SRE)、开发人员、DevOps 或 DevOps 经理受访者角色17%15%15%13%13%7%7%6%10%10%2023 年应用策略现状报告29关于 F5F5 是一家提供多云应用安全和应用交付服务的公司,致力于让更好的数字世界融入生活。F5 与世界各大知名的企业和机构合作,以优化和保护位于本地、云或边缘的应用程序和 API。F5 帮助企业为他们的客户提供卓越、安全的数字体验。如欲了解更多信息,请访问:。(纳斯达克:FFIV)。F5 市场销售热线
54、:400 991 8366F5 售后支持电话:400 815 5595,010-5643 8123F5 在线联系:F5 公司北京办公室地址:北京市朝阳区建国路 81 号华贸中心 1 号写字楼 21 层 05-09 室邮编:100025电话:(+86)10 5643 8000传真:(+86)10 5643 8100https:/F5 公司上海办公室地址:上海市黄浦区湖滨路 222 号企业天地 1 号楼 1119 室邮编:200021电话:(+86)21 6113 2588传真:(+86)21 6113 2599https:/F5 公司广州办公室地址:广州市天河区珠江新城华夏路 10 号富力中心写字楼 1108 室邮编:510623电话:(+86)20 3892 7557传真:(+86)20 3892 7547https:/ 2023 F5,Inc.保留所有权利。F5 和 F5 标识是 F5 公司在美国和其他国家(地区)的商标。其他 F5 商标可在 上予以确认。本文提及的所有其他产品、服务或公司名称可能是其各自所有者的商标,与 F5 公司并无隶属关系,F5 公司不做任何明示或暗示的担保。F5 社区官方微信活动中心(录像回放、PPT 下载)、安全报告下载NGINX 开源社区微信F5 社区技术群NGINX 社区微信群