构建现代化应用以迎接 AI 时代
无摩擦安全的五个支柱
应用现代化是指使关键应用跟上现代安全和构建标准的步伐。无论是作为数字化转型的一部分将本地应用重新托管到公共云中,,还是更新应用代码库以迁移到受支持的操作系统,还是为借助容器化的扩展与韧性能力对应用进行全面重构,应用现代化都能为传统软件带来创新。
应用现代化效益良多:提高性能和韧性,改善用户体验,最重要的是——在安全的环境中安全运行应用。要实现这些优势,IT 团队、安全团队和应用开发团队之间开展协作至关重要。跨职能团队最适合完成应用现代化项目,并取得最佳成果,而从项目启动之初就将安全融入解决方案,可在交付期限临近时,为您省去成本高昂、耗时费力的审查与补救工作。
很简单,对吧?
协调团队的挑战
实际上,有几个问题可能会给应用现代化的努力带来挑战,包括 IT、安全和开发团队之间互相冲突的优先事项。这些优先事项在组织和业务需求的更大背景下存在冲突,而企业往往更青睐能带来新机遇的创新项目,而非现有应用的更新工作。
根据为2026 年 Cloudflare 应用创新报告进行的调研,79% 的 IT 领导者表示,他们的安全和应用团队已经协调一致。我并不这么认为。协同程度其实是一个连续的区间,而不是非黑即白。我的经验告诉我,能做到 100% 完全步调一致、秉持 “我们极度重视安全,做任何事都离不开安全团队” 这种态度的团队,实际上只占极少数。对我们大多数人而言,确保团队保持协同一致的挑战是真实存在的,尤其是在时间紧迫的情况下。
有一点可以肯定:当企业决定开展应用现代化时,各方都希望尽可能快速推进,以节约宝贵资源。
AI 可助一臂之力。AI 辅助开发正在迅速成为许多企业的新常态,使开发人员能够以前所未有的速度编写代码。尽管 IT 团队与安全团队均已配备各自的 AI 工具以跟上节奏,但应用开发人员产出速度的提升,会让现有流程在更激进的交付目标下不堪重负,从而显著增加协同工作的复杂度。
部分 AI 工具虽能加速开发进程,另一些却会让应用现代化工作变得更为复杂。AI 快速集成到业务环境的每一个角落,进一步扩大了攻击面,不仅包括人类和非人类身份 (NHI),还包括 智能体。简而言之,即使是最简单的应用现代化项目,也可能带来使安全部门难以跟上步伐的复杂性。
企业首席信息安全官深知,安全对于任何应用现代化工作都至关重要。采用安全设计原则——从代码到底层基础设施和安全控制——的企业具备明显的竞争优势。
“竞争优势”这个词被频繁提及。我来澄清一下:如果您的应用采用高可用性架构设计,并且很容易发生宕机,一旦系统宕机,您将会失去收入和机会。然而,若您的应用因安全管控失效而无法保障客户数据的机密性与完整性,您将失去更为重要的东西:客户信任。常言道,信任最难获得,却最易失去。容忍无法保护用户的不�安全应用存在的时代,已经一去不复返了。若您想要引领所在行业,并为您的产品与服务争取溢价空间,那么具备安全性与高可用性的技术,便是必备基础条件。
老应用,新问题
环境决定一切。在传统数据中心内部运行的遗留应用(使得,这类应用依然存在),若要部署到公有云环境,几乎都需要进行全面改造。已停止支持的操作系统、充斥漏洞的组件库,以及历经十余年反复修补的配置,在云环境中无法仅通过隔离或防火墙就能彻底安全。此外,现代应用 通过 API 与其他系统和服务交互,每个 API 都是一个脆弱系统的潜在入口点。
此外还有成本控制问题 —— 在云端部署时,这可不是小事。在传统数据中心部署时,投入一次性资本支出即可搭建、且后续运维成本相对较低的传统架构,一旦迁移到云端,情况将截然不同。事实上,根据 Cloudflare 的调研,52% 的企业将预算预期增长归因于上云。
好消息是什么呢??上云让企业能够轻松采用低成本的现代化解决方案,例如容器、微服务与对象存储。而且,通过对云环境进行最优配置,即可实现相对可控的成本水平。
坏消息呢?所有这些出色的现代化选项以及 API 也会显著扩大您的攻击面。
安全与创新密不可分
当您将遗留应用迁移到云端时,很容易看出 IT、安全和开发团队之间的协作是多么关键。每个团队都会贡献其专业能力与现有标准方面的知识,这在为全新的现代化应用制定“运行规则”时至关重要。IT 部门负责基础设施运维,应用开发人员负责功能设计,而安全团队则确保一切都基于稳固的基础构建。
任何有房屋装修经验的人都可以证明,在项目启动之初,您就应制定清晰的方案并确保所有参与方充分理解,同时明确方案中各项工作的负责人。遗留应用与房屋极为相似,充满各种意外,尤其是在开始拆解改造时。问题、故障与隐患几乎不可避免。
应用现代化改造过程中所做的决策,将直接决定最终成果,领导团队必须优先采用安全设计理念。不应该指望在开发团队做出架构决策后,安全团队才匆忙进行安全审查。同样,应用开发团队必须遵循现有标准,以保障系统的可支撑性与弹性能力,因此 IT 团队也必须从项目初期就融入决策流程。这是一项团队运动,还记得吗?
协调安全与现代化的优势
Cloudflare 的研究显示,14% 的受访者表示他们的应用现代化工作落后于计划。在 90% 的企业报告在过去一��年中经历过安全事件的背景下,以上情况令人担忧。这些企业中的许多承认,自身仍深陷被动式安全防护的困境,将大量时间与资源耗费在告警响应上,同时疲于应对机器人程序攻击、欺诈等常见安全威胁。
相比之下,13% 的受访者表示,他们在应用现代化方面工作领先于计划。这些企业同样展现出更快的创新速度、更灵活高效的决策文化,以及更具实际价值的 AI 采用。差异何在?采用“安全设计”方法,并在利益相关团队之间保持紧密协调。这种协同一致对于大型企业(员工规模超过 2500 人)以及科技企业尤为重要:若缺乏集中统筹协调,这类企业更容易出现决策碎片化的问题。
缺乏协同一致会导致严重的后果。若企业不能有效协调安全、IT 与应用工作优先级,就会在竞争中处于明显劣势——尤其是在 AI 采用方面。若管理层未能就优先级达成统一思路与共识,这些缺乏协同的企业在 AI 研发方面的就绪度就会大打折扣,仅略高于 10% 的企业表示其现有基础设施与人才储备“完全充足”。
然而,采用“安全设计”方法并实施应用现代化,将带来近乎立竿见影的短期收益与深远的长期价值。根据2026 年 Cloudflare 应用创新报告,95% 的领先组织(即在现代化进度超前的组织)认为,当内部高度一致时,他们能更好地利用 AI,并且往往具有更高的 AI 采用率。
以安全设计加速现代化进程
拥抱以下五个战略支柱的技术领导者,其所在组织可在其应用现代化项目中实现最大回报。
1. 树立安全至上的心态。
确保全员了解"安全不可或缺",以减少执行过程中的摩擦与阻力。在开发团队内部,采用 DevSecOps 方法,将安全设计理念融入开发流水线,而非将安全视为独立的审批关卡。
这种安全第一的心态能带来可观的回报。做到应用现代化与安全努力协同一致的组织,认为自身在 AI 发展方面处于行业领先地位。事实上,Cloudflare 研究显示,发现这种协调一致“非常轻松”组织,
其 AI 发展程度几乎四倍于是认为其 “困难” 的组织。
2. 了解技术和业务优先事项。
与同行的高管成员合作确定优先事项,并更好地管理资源和期望。积极主动的协调可能包括年度规划演练、组建跨职能团队、共享项目管理资源和共享指标。
3. 采取最佳实践。
许多大型企业都有标准的构建实践、代码标准和审查流程。安全人员应该了解这些标准和实践,并在更大团队的框架内工作。
4. 确保安全工具适用于现代化的应用。
工具应该适合新应用的平台。理想情况下,工具不应仅满足与传统管控机制的功能对等,而是提升安全态势。
5. 上线前测试管控措施。
在应用上线之前,利用实时和/或模拟渗透测试与红队工具对管控措施进行测试。AI 驱动的编码工具将有助于防范代码库中的安全漏洞,而配置管理工具则可确保标准配置落实到位。但是,在部署到生产环境之前,没有什么比实战演练更能确认您的管控措施能符合预期了。
确保安全不沦为事后补救
将安全作为核心设计原则的组织,不仅能够降低风险,还能在日益复杂的威胁环境中加快创新速度、部署 AI 能力,并维护利益相关方的信任。安全的重要性极高,现代化过程中决不能成为事后补救。
Cloudflare 可通过实施安全设计,助力企业实现应用现代化与安全防护的协同统一。借助 Cloudflare,应用开发、交付与安全将集成于统一平台,助力您构建 DevSecOps 模式,加速创新同时管控风险。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
深入探讨这个话题
阅读《2026 年 Cloudflare 应用创新报告》,深入了解应用现代化的核心价值,探索领先组织保持竞争优势的成功之道。
作者
Liz Morton — @liz-morton-543b014
现场首席信息安全官,Cloudflare
关键要点
阅读本文后,您将能够了解:
孤岛是影响现代化速度的最大风险
为什么安全和创新密不可分
实施安全设计的五大战略支柱