2022年应用策略现状报告

1、My BankTransfer CompleteNext Transfer2022 年应用策略 现状报告2概览F5 第八次应用策略现状年度调查结果显示全球数字化转型持续加速。应用和架构的现代化正更深 入地渗透到企业运营的方方面面，可使后台职能以及直接影响客户体验的职能大为改观。但调查结 果也表明，前路荆棘，若不加以重视，则企业可能无法实现进一步的发展。特别是，相关风险可能 会阻碍企业有效地利用人工智能（AI）技术来提高业务响应能力和敏捷性。调查结果重点一览：当今企业是数字化企业，提高自动化水平的需求正助推 IT 和运营技术（OT）的融合 受访 者认为这是未来几年最令人振奋的发展趋势。混合云架构

2、及其复杂性和挑战将继续存在，应用遣返率陡然骤增以及目前 70% 的企业管理着 5种不同的应用架构足以证明这一点。应用安全和交付技术不再只局限于其所服务的应用，而是部署在不同的环境中，并可为多个应 用提供支持。安全防护越来越注重身份管理。随着企业纷纷采用零信任原则，身份和访问管理技术（96% 的 受访者都在使用）现已成为应用安全和交付技术中最常见的部署类别。威胁缓解方法日趋成熟。随着高层领导就安全防护的重要性达成共识，单方面拦截所有威胁的 期望正不断演变为一种更加平衡的风险管理方法。几乎人人都缺乏对性能下降、中断及威胁的根本原因的关键洞察。这些缺乏的洞察将给 90% 的 计划采用人工智能来支持业

3、务运营的企业带来重大风险。需要新方法。站点可靠性工程（SRE）实践可以帮助企业更好地管理复杂性，但实际解决方案 将需要做出更具战略性的改变。请阅读 F52020 年应用策略现状报告，获取更多调查结果。目录03要点综述07企业现代化全面推进11应用环境持续改变15应用安全和交付技术不断发展20安全防护日益转向风险管理24增强战略意识，化解安全挑战29结语30关于本调查Contents03 Executive Summary07 Modernization Is Expanding Throughout Organizations11 The Application Landscape Keeps

4、 Changing15 App Security and Delivery Technologies Are on the Move20 Security Is Evolving Toward Risk Management24 Challenges Require More Strategic Attention29 Conclusion30 About the Survey22022 年应用策略现状报告2要点综述数字化扩展加速 未来变革2022 年应用策略现状报告3数字化转型如火如荼，IT 目标和业务目标开始融合，逐渐将技术从支持角 色提升为业务推动因素。现在可以毫不夸张地说，每家企业都是

5、数字化企 业。从远程办公解决方案到虚拟诊疗等各种技术正改变着社会。企业需要 调整业务来为客户创造价值、抓住新机遇并实时响应攻击，因此人工智能（AI）技术引起了广泛关注，它有助于简化工作流程。但在通往这一美好未来的“快车道”上有一道障碍 随着数字化转型 持续推进，应用、集成和环境呈爆炸式增长，其所造成的复杂局面愈发难 以管理。如今，普通企业需要管理 200 多个应用，并使用着多个第三方即 服务产品。这些应用均跨数据中心、多个云环境和边缘部署。此外，大多 数企业都依赖近 20 多个不同的应用安全和交付技术，这些技术越来越多 地部署在可发挥最大效用的位置，而非仅局限于其所服务的应用的部署模 型或位置

6、。这种复杂性将继续增长，因为超过三分之二的企业已经意识到，为客户带来 卓越的数字交互体验还需要升级可视化程度较低的业务流程和后台职能。这 些运营任务需要实现自动化，以免成为数字化转型的瓶颈。如果企业未能快 速利用数据采购原材料、招聘员工、制定生产计划或完成大量其他支持任 务，可能会影响客户关系、延迟新产品的上市时间并减损收益。大多数企业需要管理2001,000 个应用。长期以来，现代化项目的工作重点主要是优化客户的数字体验，包括购物车 和物流跟踪及客户支持聊天机器人服务。现在，为了充分挖掘上述现代化项 目的价值并实现人工智能的优势，大多数受访者都正在推进其数字化转型工 作，以引入企业更深层级的

7、内部职能部门。例如，2022 年，78% 的受访者 将 IT 运营列为工作重点，高于 2021 年的 62%。2022 年应用策略现状报告4最令人振奋的发展：IT 与 OT 的融合。这一运营重点同样体现在调查结果中，许多受访者认为，IT 与运营技术（OT）系统的融合是未来几年内最令人振奋的发展趋势。OT 系统可监控 事件、流程和设备，从而帮助企业管理工业和企业运营，例如用于管理生 产机器速度的监视控制与数据采集（SCADA）系统，以及用于建筑照明、 温度和访问的自动化控制系统。集成此类 OT 系统与以数据为中心的 IT 系 统将有助于构建自动化循环，并提高数字业务的适应性，从而更好地预测 和响

8、应不断变化的客户兴趣和市场环境。未来动荡在所难免请注意未来动荡，因为对于大多数企业而言，保持增长势头并充分挖掘数字 化转型工作的价值将需要利用目前所没有的系统和资源。例如，各行各业中 90% 的企业计划实施人工智能或机器学习（ML），从而 为客户提供更优质的服务：其中，超过四分之三（76%）的企业预计将利用技术成果来支持其业务 线，无论是有针对性的客户购买建议还是人工智能辅助的诊疗。实现安全防护（例如实时欺诈识别）位居第二，占 71%。超过一半（52%）的企业计划在 IT 运营中使用人工智能，其余 48% 的 IT 团 队则主要依靠手动流程来竭力保护和管理数百个应用 这就如同使用手 工工具和牛

9、来建造和支持火箭。这在技术上可以做到，但并非易事，既不 安全，也不可扩展。人工智能实施计划调查问题：您在哪些领域使用或计划使用人工智 能和机器学习？请选择所有适用项。调查结果：超过四分之三的受访者正在使用人工 智能来支持其业务线。76%71%52%正在使用或计划使用 人工智能支持业务线正在使用或计划使用 人工智能确保安全正在使用或计划使用人工 智能开展运营（AIOps）2022 年应用策略现状报告5此外，无论人工智能用例如何，可能都很难从其应用及应用安全防护和交 付技术中提取和处理遥测数据。企业要想成功挖掘目前存储在定制云或本 地孤岛中的数据，并使用它来提高自动化水平、安全性和效率，那么只实

10、现应用现代化和扩展还不够，还需要对应用背后的操作系统进行现代化改 造。这意味着，企业需要自动化、集成并扩展应用部署和管理的手动流程， 包括如何利用遥测技术来驱动变革。但许多 IT 企业根本没有这些资源。技能差距持续扩大，高达 98% 的企业 表示，他们现在缺乏实现业务目标和改善客户体验所需的洞察。与此同时，安全威胁激增，多个环境中的碎片化问题和自动化水平不足正 加剧脆弱性。将多个应用拼凑成安全、一致的应用组合的难度不断加大。 在日趋数字化的经济中，领导者无法忽视这些幕后挑战，但仍然期望取得 成功。幸运的是，我们的调查结果反映的其他趋势（包括站点可靠性工程（SRE） 实践的兴起以及采用这些实践的

11、企业所获得的优势）指明了一条成功之路。 若要在数字化转型之旅中取得其他重大进展，则需使用全新方法来跨当今 分布式架构管理遥测、数据和应用安全及交付技术。缺乏洞察调查问题：您的监控/报告/分析解决方案缺乏哪些洞察？请选择所有适用项。调查结果：只有 2% 的受访者拥有所有所需洞察，而大多数受访者都缺少不 止一种类型的洞察。应用性能下降的根本原因潜在攻击应用问题/事件的根本原因历史性能比较业务相关洞察39%38%37%35%32%不缺乏洞察 我们拥有所有所需洞察2%98% 的受访者 缺乏洞察2022 年应用策略现状报告601企业现代化 全面推进2022 年应用策略现状报告7如以前的应用策略现状报告所

12、述，数字化转型工作通常分为三个阶段：任务或流程自动化数字化扩展人工智能辅助业务在 2021 年报告中，我们发现，随着企业迅速适应全球新冠疫情突发所带来 的远程办公模式、远程客户交互及其他影响，进入数字化转型后期阶段的 企业的比例急剧增加。如今，绝大多数企业都正通过技术拓展业务，近三 分之二的企业目前正在实施人工智能相关项目。同时，处于第一阶段（业务任务自动化）的企业的比例也有所增加。首先， 越来越多的企业开启了数字化转型之旅。但适应数字经济是一项长期的反复 工作，大多数企业的项目都涉及数字化转型的多个阶段。例如，今年近三分 之一（32%）的金融服务企业正在第一阶段实现业务任务自动化，一半以上（

13、58%）的企业同时在第三阶段实施了人工智能相关项目。尽管改善客户体验一直是大多数数字化转型计划（仍占 90%）的工作重点， 但现代化活动也越来越多地涉及内部流程。在许多高技能人才短缺的全球劳 动力市场中，员工体验也很重要。此外，在加速发展的数字经济中，企业绝 不能让纸质手动流程（从员工入职到合规管理）限制敏捷性。这对于 IT 运营 团队而言尤甚，如果没有所需的数据挖掘和流程自动化，他们将无法实施生 产级人工智能。因此，现代化进程加速推进。数字化转型三个阶段的活动调查问题：请选择您当前数字化转型任务的重点 项目。请选择所有适用项。调查结果：90% 的企业正在实施数字化转型，其 中大多数企业同时处

14、于多个阶段。第 1 阶段： 任务自动化第 2 阶段： 数字化扩展第 3 阶段：人工智能辅助业务33%2021 年为 25%70%2021 年为 57%61%2021 年为 56%2022 年应用策略现状报告8实现员工和厂商流程自动化在所有受访者中，三分之一正在实施手动业务流程自动化，其中教育和医 疗等行业在此阶段比其他行业更为忙碌。较之去年，整体比例上升了八个 百分点，这很可能反映出一些企业才刚刚起步。但调查结果还显示，数字 化转型项目为内部业务职能带来了自动化，包括人力资源流程和客户信用 控制及厂商合同管理。之前，此类后台流程的现代化优先级别较低，尤其 是在各企业纷纷着力应对新冠疫情之际。尽

15、管 90% 的受访者仍将客户体验放在工作首位， 但现代化进程持续推进。具体而言，在过去几年中，许多公司都聚焦两大领域：IT 服务中心和客户体 验。实现 IT 支持现代化的项目有助于确保员工持续高效地办公（考虑到新冠 疫情的限制）。更多的项目提高了从营销和销售流程到订单履行和客户支持 的数字客户体验。今年，在所有受访者中，正在推进多个内部业务职能部门和员工体验现代化 的企业的数量激增。人力资源、财务、采购及其他部门继续发力，自动化并 加速曾主要依靠纸质手动流程的活动。29% 的受访者表示开展了从设计和开 发到定价和封装等产品相关的现代化活动。另有 19% 的受访者表示，法务职 能部门（往年调查中

16、未曾出现的类别）已成为数字化的工作重点，这可以防 止上述流程成为发展瓶颈，阻碍企业以前所未有的速度满足客户需求。数字化转型的优先事项调查问题：哪些业务职能是您的数字化转型计划的优先事 项？请选择所有适用项。调查结果：尽管面向客户的职能部门仍然是重中之重，但 现代化进程也正推进到许多后台职能部门。客户体验 运营/后台一般 IT 事务 IT 服务中心客户服务销售和营销39%36%35%34%29%产品一般运营事务28%财务27%23%订单履行处理 人力资源21 %采购20%法务19 %2022 年应用策略现状报告9与面向客户的流程一样，这些内部流程也需要通过技术进行扩展、无缝集 成其他流程，并实时

17、响应变化。实现数字化后，它们还需要应用安全和交 付技术提供的更高安全性、可用性及性能。同样，通过 SaaS 实现内部流 程现代化的企业通常需要将这些流程与其他流程相集成，同时保护他们所 用的客户数据或员工数据。因此，纵然以前的手动任务实现了自动化，推进内部流程现代化也依然会 加剧复杂性。企业正疲于管理越来越多的应用及支持应用的安全和交付技 术。但上述应用组合的增长参差不齐，这些应用的管理比以往任何时候都 更加复杂 因为（详见下一节）应用环境日新月异。F5 洞察随着业务职能的现代化广泛推进，采用一致的方法来保护、交付并集成这些应用成 为确保后台应用保护敏感数据并像面向客户的应用一样高效运行的关键

18、。这对您有何意义明智的企业不会选择按功能管理其应用组合，或通过梳理哪些职能部门需要特定安 全性、应用交付或遥测服务以及哪些职能部门不需要这些服务来追求虚假效率。相 反，平台级解决方案可为整个应用组合提供一致的保护、性能和数据访问，不仅更 易于管理，而且还能够更好地帮助企业从孤岛中释放更多数据，从而实现人工智能 辅助。只有这样，整个企业才可实时做出全面响应，以满足客户需求、开拓创新并 更快速地将差异化服务推向市场。2022 年应用策略现状报告1002应用环境 持续改变2022 年应用策略现状报告11数字服务在我们日常生活中的作用日益凸显，企业管理的平均应用数量逐 渐增加。管理 200 到 1,0

19、00 个应用的企业数量不断上升，占比 41%，而 五年前这一比例仅为 31%。但与此同时，各大应用组合正在整合，管理 1,000 多个应用的企业的比例日益下降。随着传统的旧应用被淘汰，有时被 团队协作软件等更现代化的应用（集成了之前由多个应用执行的功能）所 取代，这种整合是顺理成章的事情。此类整合意义重大，因为减少所需管理的应用数量（一种标准化形式）能 够显著提高企业大规模快速交付数字服务的能力（尽管部署决策和流程变 得比以往任何时候都更加复杂）。部署决策仍然面临挑战无论其规模如何，应用组合的复杂性都是个问题，因为大多数 IT 企业都混 合管理着日益增长的全新容器原生型移动应用和对业务运营至关

20、重要的传统 单体应用。旧应用的现代化（无论是通过添加现代组件或 API、直接迁移到 公有云还是通过其他方式）已变得十分常见，95% 的受访者都在开展此类 项目 高于去年的 77%。但许多企业可能还会继续无限期管理一些传统 应用。几乎所有受访者（88% 的受访者）都在各种环境（包括边缘）中运行传统和 现代应用架构，因此，确定应用及其支持技术部署场景和方法的难度加大。应用组合规模调查问题：贵企业目前使用多少个应用？调查结果：应用组合趋向于平均包含 200 至1,000 个应用。201720221-200 个应用200-500 个应用50%49%19 %24%12 %17 %8 %6%501-100

21、0 个应用1001-3000 个应用 超过 3001 个应用11 %4%2022 年应用策略现状报告12这些挑战既有不一致的安全策略和分散的数据，也有单点解决方案（当时 行得通或用于某些用途）的部署，但最终会增加复杂性或降低性能，进而 加剧系统的整体脆弱性。即服务产品的增长是另一个复杂因素，这些产品在解决一些问题的同时可 能会带来其他问题。超过四分之三的受访者（77%）表示，他们在多云环 境中运行应用。93% 的受访者使用某种基于云的即服务产品（通常被归类 为 XaaS）。Salesforce、Microsoft Oce 365、SAP 和 Atlassian 都是广 泛使用的熟悉示例。这意味

22、着，几乎所有企业都必须跨多个环境管理安全 性和性能。此外，这些 XaaS 产品越来越多地通过 API 集成到其他业务流 程和专有应用中，使安全管理变得更加复杂。企业平均使用三个 XaaS 产品。面对这种复杂性，无怪乎覆盖不同环境的可视化成为在多云环境中部署应 用的企业所面临的最大挑战，紧随其后的是一致的安全性。这些安全问题 正快速推动企业转向基于云的安全平台和边缘部署。在复杂的不同环境之间迁移应用的难度也仍是多云部署的首要问题。尽管 如此，今年的调查结果显示，工作负载出现了新的变化，部署决策也越来 越复杂。虽然许多应用部署在多个位置，但本地部署仍最为常见，而其他 托管位置越来越受欢迎。公有云仍

23、得到广泛采用，四分之三的企业表示他 们将应用部署至公有云。多云环境面临的主要挑战调查问题：您目前在多云环境中部署应用时面临哪些挑战？请选择所有 适用项。调查结果：可视化高居榜首，但其他许多挑战也不容忽视。可视化一致的安全性应用迁移性能优化45%44%41 %40%2022 年应用策略现状报告13与此同时，92% 的企业在本地数据中心托管应用，而且应用遣返率（将应 用从公有云迁移回本地数据中心）激增，37% 的受访者表示他们已遣返应 用。另有 30% 的企业计划采取这一措施。实际遣返比率是一年前受访者预 期的两倍以上。有何挑战？其中一点可能是多云环境管理的难度，此外公有云的缺点也会 降低其公认的

24、效率优势。遣返率因地区和行业而大不相同，但总体而言， 混合架构（以及对如何跨混合架构高效管理应用的影响）可能将一直存在 下去。但遣返与 SRE 实践采用之间也有着有趣的关联，这缓解了应用迁移的挑 战。有关 SRE 的这一优势及其他优势的更多详细信息，请参见调查结果 第 5 节。从云端遣返应用调查问题：您是否已将应用从公有云遣返回本地或托管数据中心？调查结果：遣返率因地区和行业而大不相同，但总体而言，混合架构可能 将一直存在下去。独立于环境的应用安全和交付技术可跨多云 环境一致地执行声明性策略，让混合架构变得更为实用。F5 洞察混合架构（包括本地数据中心和 XaaS 产品）不会消失，而应用和工作

25、负载将日趋 容器化和移动化。这也意味着复杂性将随之而来。这对您有何意义跨不同环境管理应用及其支持技术仍是一个挑战。应对这一挑战可能不仅需要采用 分布式云架构，而且还需：独立于平台的安全和交付技术，可跨不同环境为所有应用（传统、现代和移动应 用）提供一致的保护、可视化和性能。实时遥测技术（可跨越数据孤岛）和智能技术（使用生成的数据来推动实现自动 化，而非手动集成和管理）。是计划在 12 个月内遣返 否+40%21%13 %14 %73%33%30%37%202120222022 年应用策略现状报告14点击获得250 美元我的银行03应用安全和交付技术不断发展2022 年应用策略现状报告15无论应

26、用被遣返还是仍部署在公有云中，今年的调查结果都表明了另一重 大变化：应用安全和交付技术越来越多地部署在与其所服务的应用不同的 位置。这些应用支持服务（从 DDoS 防护到访问管理再到防欺诈技术等不 一而足）越来越多地出现在最适合其所服务的特定情境和功能的任何位置。例如，92% 的企业将应用部署在本地（如上所述），但只有 53% 的企业在 此托管应用安全和交付技术。同时，近 52% 的企业在公有云或边缘部署支 持技术。应用及其支持服务的这种分离直接归因于云技术的广泛采用、边缘技术的 出现、由此产生的应用的分布式特性以及各种安全和交付技术混合部署的 优缺点。现在，特定支持技术的最佳部署位置不仅取决

27、于应用的托管位置， 而且还取决于：用户的性质和位置。支持服务本身的性质。该技术能够通过云提供商或其他第三方提供且具有成本效益。相关业务目标。DDoS 和 API 网关等安全服务可能在边缘或边缘附近提供最佳性能，可防 止攻击影响整个网络。同样，基于身份的访问控制可能在尽可能靠近用户 部署时发挥最大作用 无论这些用户是使用移动设备还是微服务。另一 方面，service mesh（服务网格）及其支持的应用应与基于容器的微服务一 起部署到同一集群中。并非所有企业都如此广泛地散布应用技术；近四分之一（22%）的受访者仅 在其数据中心部署应用安全和交付技术。事实上，对于某些技术（例如端点 安全或 SSL

28、VPN），本地部署适用于大多数情况。但通常随着 SaaS 采用和 边缘部署的增加，部署位置可能日趋分散。96% 的企业部署了身份与访问管理技术。在众多可用的应用安全和交付技术中，身份和访问管理技术现在最为常见， 为 96% 的企业所部署。这一变化令人吃惊，因为之前的企业首选都是负载均 衡等可用性技术或 SSL VPN 和防火墙等较为传统的安全技术。如今，身份和访问管理技术备受追捧，在一定程度上反映出过去两年中零信 任安全的普及和远程办公人数的骤增，但多半还是由于目前可访问应用的微 服务、脚本、传感器、工作负载乃至冰箱和电灯的数量激增。在应用及其支 持技术的背景下，“用户”的定义已经远远超出了设

29、备（甚至移动设备）使 用者的概念。因此，大多数甚至全部安全解决方案均正转向基于身份的管 理，以便对用户（不太可能是员工，而更可能是 API、服务或机器）进行安 全授权。整个传统安全服务仅次于身份服务，是第二大最常部署的技术，可用性技术 位列第三。90% 的企业部署了上述三种服务，另有 85% 的企业部署了应用 交付技术，旨在提高性能。2022 年应用策略现状报告16实际上，普通企业（在今年调查的所有受访者中）使用 21 种不同的应用安 全和交付技术来支持丰富、强大的客户体验。平均而言，其中大多数技术 都部署在本地，但也有很大一部分部署在云端，而且单个应用可能会依赖 部署于多个位置的各种服务，反

30、之亦然。普通企业使用 21 种应用安全和交付技术。这种部署灵活性具有一定的优势，但也会加剧复杂性和运营分散性。跨多 云架构维护一致的策略变得更加棘手（这个问题由来已久） 即使这些架构和工作负载移动性使得基于策略的一致性变得比以往任何时候都更加 重要。在使用遥测技术快速做出业务决策对取得业务成功更加重要的今天， 它还会带来数据陷阱并阻碍广泛的可视化。26% 的应用安全和交付技术部署在边缘。这些数据挑战和对实时数据处理的需求是边缘部署兴起的原因之一。边缘部 署不仅能够提升应用性能和客户体验，而且还可以提高支持应用的安全和交 付技术的效率。部署位置分散如今，应用部署在多种不同的环境中，很大一部分 的

31、企业使用各个环境，而且大多数企业使用了不止 一种。同时，应用安全和交付技术越来越多地部署 在与其所服务的应用的部署模型不同的位置。应用应用安全和交付技术92%53%75%26%75%36%58%26%64%30%本地公有云边缘托管中心SaaS/托管服务2022 年应用策略现状报告17不断演变的边缘部署的目的超过五分之四的受访者（84%）计划将工作负载部署至边缘，以提升员工 和客户体验。事实上，受访者近期的边缘部署计划表明，企业在边缘使用 的方式上已经成熟。最初，边缘部署的主要目的是让内容和应用更靠近用户，从而提高性能。 内容交付网络（CDN）发挥了关键作用。安全防护也很快成为了重要焦点， 因为

32、需要快速识别和化解威胁，防止其危及数据中心或云环境。物联网（IoT）和容器化的兴起，再加上端点的特性从僵化和被动到虚拟和 动态的根本性变化，改变了边缘范式。边缘部署的目标也随着这种变化而 发生了改变。企业愈加期望边缘在其架构中发挥更重要的作用。尽管性能 提升和安全防护依然十分重要，特别是其对数字体验的影响，但 32% 的受 访者表示，他们期望通过边缘部署实现更高的运营效率（得益于更合理的 工作负载分配和来自远程端点的更准确数据）。32% 的受访者正迁移到边缘，以提高效率。此外，企业计划在边缘部署的工作负载在安全服务、实时数据处理和数字 体验工作负载（例如移动应用和面向客户的网站）三者之间几乎均

33、等。较 为传统的应用性能工作负载紧随其后。边缘工作负载调查问题：您计划在边缘部署哪些类型的工作负载？请选择所有适用项。调查结果：数据处理和数字体验工作负载的增加预示着边缘使用的演变。监控 工作负载16%应用性能33%安全服务 工作负载44%数据处理 工作负载43%数字体验 工作负载42%日益演变的 边缘2022 年应用策略现状报告18随着应用和数据处理工作负载日益分散，这种边缘使用的演变意味着转向 更加动态、更为分散的应用架构。富有前瞻性的企业正使用这种新范式来 为处理遥测和海量数据做好准备，以便为人工智能赋能，从而支持应用和 企业针对动态的客户行为、新兴的商机及不断演变的安全威胁进行实时 调

34、整。F5 洞察应用及为其提供支持的安全和交付技术的部署位置越来越分散，而且通常随着SaaS 采用和边缘部署的增加，部署位置可能日趋分散。这对您有何意义企业可以根据优先事项和所需实现的目标，为每个应用安全和交付技术选择理想 的部署和使用模式。仅仅将这些决策归入应用开发流程（或者将其视为事后补救 手段，而非专门的重要工作）将无法提供实现竞争优势所需的效率、细粒度或一 致性。针对每种支持技术（以及针对应用本身）做出最佳决策需要认真研究，并 与其解决方案可跨各种部署模型高效、一致运行的厂商建立合作关系。2022 年应用策略现状报告1904安全防护 日益转向 风险管理2022 年应用策略现状报告20在安

35、全领域，今年的调查结果带来了一些好消息，首先，IT 与业务领导者 之间就保护整体业务及基础架构和应用的重要性达成高度一致。这种来之不易的共识是受轰动性入侵事件和重大欺诈损失推动促成的，这 反映了随着数字业务走向成熟，业务目标与 IT 目标开始融合。由于复杂性 增加了潜在故障点的数量，认为安全（尤其是应用安全）非常重要的高级 IT 领导者略多于高级业务领导者，但这两个角色中优先考虑安全性的多数 派只有几个百分点的优势。性能依然很重要，超过四分之三的受访者承认，如果可以选择，他们愿意 关闭安全措施以提高性能。即使性能提升低于 50%，也有一半的受访者会 这样做。实际上，人们始终对性能偏爱有加，这在

36、一定程度上可能是受到 安全合规要求的影响，这些要求更像是空洞的指令，而非有效的保护。高达 76% 的受访者表示愿意关闭安全措施以提 高性能。但是，这种对性能提升远超安全防护的渴望也反映出，人们逐渐认识到， 无懈可击的威胁缓解措施并不存在，或者即便存在，在运营费用、用户不 满或机遇错失方面所付出的代价也超出了企业的承受能力。而开展安全的 数字业务需要根据其他实际目标来管理一系列风险。这意味着企业需要在 可接受的性能、客户体验和成本与可接受的保护和安全合规之间取得平衡。为实现性能提升有必要牺牲安全控制调查问题：多大程度的性能提升会促使您关闭安全控制？调查结果：大多数受访者会为了提升性能而牺牲安全性

37、，许多受访者甚至 会为了相对较小的性能提升而牺牲安全性。不同角色和行业之 间无明显差异。76-100%绝无可能1-25%26-50%51-75%24%20%29%19 %8 %76% 的受访者 愿意关闭安全措施以提高性能！2022 年应用策略现状报告21积极主动和情境情报是实现这种平衡的关键。因此，始终需要快速检测和 消除重大安全威胁，以防止其造成危害。但成熟的风险管理应能够忽略被 动（有时任意的）安全规则，例如最大会话长度（考虑到用户很可能是遇 到困难的客户，而非机器人）。行为分析可以提供此类情报，而成熟的企 业能够结合情境来评估风险，以提供自适应安全性和性能。实际上，成熟 的数字安全防护已

38、成为整体业务风险管理的又一领域，尤其是对数字化企 业而言。这种新兴的风险管理观念是基于身份的安全防护成为一项重要趋势的原因 之一。这种趋势也在一定程度反映了加入“用户”（其身份需要进行验证） 行列的微服务数量激增（即使这些工作负载仅在单个数据中心内交互）。 此外，大力投资 API 的企业（包括自由使用 XaaS 的企业）需要采用现代 化 API 安全方法，其中 78% 的企业已经实施了 API 安全措施或计划在未 来 12 个月内实施。在实施边缘部署的企业中，该比例甚至更高 达到 91%。API 安全防护也日趋成熟，企业使用的各种方法可分为传统、现代和自适应 方法：不到一半的受访者表示，他们重

39、视传统方法，包括加密和解密（45%）、 速率限制（33%）及 OWASP 十大缓解措施（30%）。68% 的受访者认为用户身份验证和授权（AuthN/AuthZ）这种现代方法 很重要，而 58% 的受访者则青睐另一种现代方法 流量检查。最后，59% 的受访者表示，他们重视使用行为分析来确定用户合法性。API 安全措施调查问题：以下哪项措施可为 API 提供重要保护？请选择所有适用项。调查结果：基于身份的安全防护是对 API 漏洞的关键风险管理响应。身份验证和授权行为异常检测扫描恶意数据加密/解密实施速率限制68%59%58%45%33%OWASP十大 API 漏洞30%2022 年应用策略现状

40、报告22API 安全防护问题也是受访者在未来几年内最感兴趣的技术中所涉及的一 点。如前所述，IT 与 OT 的融合（及其有望提供的敏捷性和业务效率）位 居榜首。5G 位列第二，部分原因是它支持更好地利用边缘和物联网连接能 力，有助于满足更高性能需求。紧随其后的是以 API 为中心的安全防护（零信任安全模式及 Web 应用和 API 防护（WAAP）。疫情爆发后，为了降低复杂性，90% 的企业一直在积极调整其安全防护、 通过培训提高安全意识，并探索其他解决方案和方法。例如，去年，48% 的企业更加注重漏洞管理和自动化。其他关键策略还包括采用云安全防护、 加强员工培训及整合安全厂商。未来，大多数企

41、业将需要综合运用上述多 种策略来高效管理安全漏洞风险。F5 洞察随着应用和 API（及其面临的威胁）的持续激增，基于身份的安全防护迅速变得 与较为传统的威胁防御方法一样重要。幸运的是，企业在安全防护的重要性和新 兴的风险管理方法方面越来越协调一致，这推动加大了对应用安全防护的投资。这对您有何意义现在当务之急是采取有效措施来提升企业的安全防护，并着重保护应用，以帮助 确保整个企业安全无虞。这些应用对大多数企业来说愈发重要，但也是重大风险 聚集点。鉴于每天都有新的漏洞发现，采用基于身份的安全防护的企业将能够结 合情境管理威胁并继续推进现代化，同时有效地平衡风险与性能。此外，在整个 产品组合中更高效

42、地部署和管理 WAF、API 安全防护及 bot 防御将有助于降低风 险，并实现更好的整体风险管理。关注的技术调查问题：未来几年，您对哪些技术最感兴趣？ 请选择所有适用项。调查结果：除了 IT/OT 融合和 5G 可能带来的机 遇以外，安全解决方案也是备受关注的关键领域。IT/OT 融合5G零信任WAAP43%41 %40%39%安全技术所获得的 关注度几乎与前两 大技术一样多。2022 年应用策略现状报告2305增强战略意识， 化解安全挑战2022 年应用策略现状报告24即使行为分析和人工智能辅助等策略得到施行，但也可能会出现一些小问 题阻碍其全面实施。这些问题包括缺乏洞察、缺少技能、上述两

43、个流程的 演进需求以及 IT 决策者如何考虑并制定应用、数据及应用安全和交付技术 的战略计划。缺乏洞察企业不仅缺乏利用人工智能所需的洞察，而且在去年的一年中，这个问题 变得更加严重。大约 95% 的企业计划通过挖掘运营数据来获取所需洞察， 从而改善客户体验并推动业务增长。然而，他们的计划听起来过于乐观， 因为目前几乎所有企业（98% 的受访者）都缺乏所需的洞察。担任不同角色的受访者认为，他们最需要获得以下三个洞察：39% 的受访者表示需要了解应用性能下降的根本原因。38% 的受访者表示无法获得有关潜在攻击的信息（今年从第三位上升至 第二位）。37% 的受访者表示缺乏对应用问题或事件根本原因的洞

44、察。诸多挑战妨碍了企业获得所需的洞察，最常见的是因可视化不足所致的数 据缺乏。对全栈可观察性的需求（因为需要实操数据来适应不断变化的环 境）从未如此强烈，但仍然欠缺。98% 的受访者缺乏所需的洞察。企业仍在努力改善数据的使用，因此缺乏根本原因洞察是分析项目的关切 重点也就不足为怪了。目前，超过半数（52%）的受访者实施了可提供根 本原因分析的 IT 项目。改善客户体验位居第二。2022 年应用策略现状报告25数据和分析项目的首要任务：挖掘事件的根本 原因。无论数据托管在何处，企业都非常倾向于管理自己的运营分析，当然这也 在预料之中。此外，考虑到这些数据的价值、数据安全与合规问题以及将 其转变为

45、实时洞察和响应的需求，近 48% 的计划对运营数据进行分析的受 访者希望将这些数据托管在自己的数据中心或私有云中。缺少技能企业是否具备相关技能是另一个问题。IT 部门仍然面临着所有领域的技能 短缺问题 无论是缺乏企业数据平台方面的专业知识（缺乏洞察的第二 大原因），还是缺乏提高自动化水平的必要技能。实际上，在关键领域存 在技能短缺问题的受访者比例从 2021 年的高位继续攀升：近三分之二（62%）的受访者表示，他们缺乏与厂商特定工具相关的必 需技能。超过一半（55%）受访者缺乏使用云提供商工具和 API 的技能。最后，尽管 API 对数字经济至关重要，但仍有 49% 的企业缺乏 API 技能。

46、如果企业不仅希望更好地管理当前运营，而且还期望采用所需的更深入数 据分析和机器学习（ML）来实现其人工智能愿景，那么就必须解决上述技 能短缺问题。日益扩大的技能缺口调查问题：您认为贵企业在哪些领域存在自动化和编排方面的技能短缺 问题？调查结果：所有类型的技能短缺都在不断增长。37%33%32%厂商特定工具云提供商工具和 API使用 API20212022 +68% 62%+67% 55%+53% 49%2022 年应用策略现状报告26采用 SRE 实践：重要一环今年的调查中有一项重大发现，指出了其中一些挑战的解决方案：站点可 靠性工程（SRE）实践。超过四分之三（77%）的企业表示，他们目前正

47、 在采用或计划采用软件 SRE 方法（至少用于其部分应用和系统）。这些 SRE 实践包括在系统将发生故障的情况下继续运行、满足相关预期，以及 使用服务级别目标（SLO）预算（而非服务级别协议（SLA）合同）着手解 决预期的故障，以更顺畅地管理事件。这种向 SLO 的转变反映了 IT 目标 和业务目标之间更为一致，这也是数字业务成熟的标志。在对采用 SRE 的 受访者与其他受访者的活动和计划进行分别研究时，SRE 的优势越发清晰。例如，除了厂商特定工具和自身业务流程制定以外，采用 SRE 实践的企业 不太可能反映其在大多数领域缺少技能。他们还表示，即使实现工作负载移动性，偶尔也会遇到自动化挑战。

48、他们很可能会遣返应用，因为尽管可以 通过公有云提供的高效性和可扩展性来管理应用，但在其自己的数据中心，他 们能够以尽可能低的成本获得双重优势。具体而言，超过 95% 的采用 SRE 实践的企业期望遣返应用，而 74% 企业已经执行遣返。相比之下，在未计划 采用 SRE 实践的企业中，只有 6% 已经遣返应用，这可能是因为大多数企业 无法在本地以相同效率运行应用。77% 的企业计划或已经采用 SRE 实践。另一方面，无论是以 Data Lake 即服务的形式还是以自主管理的形式，采用 SRE 实践的企业都更倾向于在公有云中托管运营数据。超过三分之二（68%） 的企业会这样做，而在没有采用 SRE

49、 实践的企业中，这一比例仅为 28%。托管偏好随 SRE 的采用而改变调查问题：对于托管运营数据分析，贵企业有何偏好？调查结果：采用 SRE 的企业不太可能使用本地托管进行运营 数据分析。未使用 SRE使用 SRE公有云，公有云，本地，本地，未计划对运营data lake 即服务（SaaS）自主管理（IaaS）私有云，自主管理传统，自主管理数据进行分析15%13 %41 %21 %6%3 %11 %40%28%24%2022 年应用策略现状报告27采用 SRE 的企业显然相信，他们拥有相应流程和技能，可获得多个环境的 效率优势，同时还能实时控制、保护、访问和使用这些数据。换句话说，各种环境的效

50、率、安全性或性能优势可能与 IT 团队的运作方式 关系更大，而非各种工作负载的托管位置。投资 SRE 实践的企业似乎正借 此实现其 IT 运营现代化，并以更强大的类云方式管理应用，而不管架构如 何。实际上，应用 SRE 实践的企业在多云环境中管理应用的可能性是其他 企业的三倍（在边缘部署以实现数据处理目标的可能性更大），并且计划 使用人工智能实现业务和安全目的的可能性几乎是其他企业的两倍。简而 言之，SRE 方法是数字 IT 发展成熟的标志。目前，很少有企业将 SRE 实践应用于少数应用或 IT 运营，因为他们的 SRE 实践才刚刚起步。尽管如此，这种方法很可能会得到广泛运用，并逐 渐发展成为一种调整所需技能和能力以完全过渡到数字化企业的有效方法。缺少战略重点SRE 实践可帮助企业通过数据提高效率、性能和自动化水平。但为了更快 地