很多組織為了快速創(chuàng)新而繼續(xù)做出選擇，這會(huì)使他們不必要地處于脆弱狀態(tài)。

開(kāi)發(fā)人員可能會(huì)感到急于部署的壓力，但是為節(jié)省時(shí)間而略過(guò)安全性可能會(huì)給持續(xù)存在的風(fēng)險(xiǎn)敞開(kāi)大門(mén)。Unit42公司發(fā)布的最新《云計(jì)算威脅報(bào)告》的發(fā)現(xiàn)表明，快速行動(dòng)、競(jìng)爭(zhēng)性戰(zhàn)略以及對(duì)安全策略的關(guān)注松懈，這是很不幸的。Unit42是網(wǎng)絡(luò)安全提供商Palo Alto Networks的威脅情報(bào)部門(mén)。

隨著組織將更多工作負(fù)載遷移到云中，對(duì)健壯安全性的需求看起來(lái)幾乎是學(xué)術(shù)性的。Palo Alto Networks的公共云首席安全官M(fèi)atthewChiodi表示，問(wèn)題在于，這些組織是由保持領(lǐng)先于競(jìng)爭(zhēng)對(duì)手的需求所驅(qū)動(dòng)的，這可能會(huì)導(dǎo)致數(shù)據(jù)泄露。他說(shuō)：“在去年7月發(fā)布的上一份報(bào)告中，我們發(fā)現(xiàn)的一大事情是，公開(kāi)披露的云安全事件中有65%是客戶配置錯(cuò)誤的結(jié)果?！彼f(shuō)，最新報(bào)告旨在解決比率為何如此之高的原因。

Chiodi說(shuō)，傳統(tǒng)的本地?cái)?shù)據(jù)中心報(bào)告的安全事件可能更少，部分原因是廣泛的變更管理和控制。他說(shuō)：“要在這些環(huán)境中進(jìn)行更改，通常必須獲得多個(gè)批準(zhǔn)。由于持續(xù)需要相關(guān)性并在競(jìng)爭(zhēng)中處于領(lǐng)先地位，因此此類協(xié)議可能會(huì)在云中放寬。企業(yè)首席執(zhí)行官們將增長(zhǎng)和創(chuàng)新速度置于成本之上。這種推動(dòng)使DevOps團(tuán)隊(duì)尋求了更快移動(dòng)和更快推出應(yīng)用程序的方式?！?/p>

根據(jù)云計(jì)算威脅報(bào)告，Unit42的研究確定了基礎(chǔ)設(shè)施中大約200，000個(gè)潛在漏洞作為代碼模板。此外，超過(guò)43%的云計(jì)算數(shù)據(jù)庫(kù)未加密。另外40%的云存儲(chǔ)服務(wù)未激活日志記錄。

Chiodi表示，組織通常將基礎(chǔ)設(shè)施實(shí)現(xiàn)為代碼模板，因?yàn)樗鼈兛梢允归_(kāi)發(fā)人員更快地工作。他說(shuō)，問(wèn)題不在于基礎(chǔ)設(shè)施作為代碼模板，而在于開(kāi)發(fā)人員匆忙不對(duì)模板執(zhí)行安全性或風(fēng)險(xiǎn)檢查，從而在其云計(jì)算環(huán)境中引入漏洞。

他說(shuō)，這種對(duì)基礎(chǔ)設(shè)施的錯(cuò)誤配置可能會(huì)留下網(wǎng)絡(luò)犯罪分子尋求加密劫持和其他惡意手段的機(jī)會(huì)。此外，Chiodi說(shuō)，在云計(jì)算環(huán)境中禁用日志記錄將使捕獲此類不良行為者變得更加困難。幾乎不可能證明或證明有違規(guī)行為。

他說(shuō)，盡管已經(jīng)努力向開(kāi)發(fā)人員介紹安全的重要性，但大多數(shù)開(kāi)發(fā)人員仍認(rèn)為，他們的首要任務(wù)是盡快推出新功能。Chiodi說(shuō)：“他們本來(lái)可以設(shè)計(jì)安全性的，但在許多情況下不會(huì)發(fā)生這種情況。許多組織尚未接受DevSecOps的概念?！?/p>

Unit42的研究表明，諸如消費(fèi)者公司之類的前瞻性組織希望以云計(jì)算規(guī)模運(yùn)營(yíng)，為眾多用戶提供服務(wù)，同時(shí)保持安全性。Chiodi引用Netflix作為一家這樣做的公司是因?yàn)樗耆闪碎_(kāi)發(fā)、安全性和運(yùn)營(yíng)。他建議安全團(tuán)隊(duì)也應(yīng)該將基礎(chǔ)設(shè)施作為代碼，以自動(dòng)將書(shū)面安全策略放入代碼中。他說(shuō)：“這樣，開(kāi)發(fā)人員創(chuàng)建新的云計(jì)算環(huán)境時(shí)，如果已正確編寫(xiě)安全標(biāo)準(zhǔn)編碼，則他們每次使用該模板創(chuàng)建的時(shí)間都將相同?！毕喾?，Chiodi說(shuō)，具有漏洞的模板每次應(yīng)用都會(huì)重復(fù)這些漏洞。

隨著組織繼續(xù)快速發(fā)展，他認(rèn)為他們需要提高對(duì)云中運(yùn)行內(nèi)容的可見(jiàn)性，從而增強(qiáng)了執(zhí)行安全標(biāo)準(zhǔn)的重要性。Chiodi說(shuō)：“人們無(wú)法保護(hù)看不到的東西?！?/p>