很多組織為了快速創(chuàng)新而繼續(xù)做出選擇，這會使他們不必要地處于脆弱狀態(tài)。

開發(fā)人員可能會感到急于部署的壓力，但是為節(jié)省時間而略過安全性可能會給持續(xù)存在的風險敞開大門。Unit42公司發(fā)布的最新《云計算威脅報告》的發(fā)現(xiàn)表明，快速行動、競爭性戰(zhàn)略以及對安全策略的關(guān)注松懈，這是很不幸的。Unit42是網(wǎng)絡(luò)安全提供商Palo Alto Networks的威脅情報部門。

隨著組織將更多工作負載遷移到云中，對健壯安全性的需求看起來幾乎是學術(shù)性的。Palo Alto Networks的公共云首席安全官MatthewChiodi表示，問題在于，這些組織是由保持領(lǐng)先于競爭對手的需求所驅(qū)動的，這可能會導(dǎo)致數(shù)據(jù)泄露。他說：“在去年7月發(fā)布的上一份報告中，我們發(fā)現(xiàn)的一大事情是，公開披露的云安全事件中有65%是客戶配置錯誤的結(jié)果?！彼f，最新報告旨在解決比率為何如此之高的原因。

Chiodi說，傳統(tǒng)的本地數(shù)據(jù)中心報告的安全事件可能更少，部分原因是廣泛的變更管理和控制。他說：“要在這些環(huán)境中進行更改，通常必須獲得多個批準。由于持續(xù)需要相關(guān)性并在競爭中處于領(lǐng)先地位，因此此類協(xié)議可能會在云中放寬。企業(yè)首席執(zhí)行官們將增長和創(chuàng)新速度置于成本之上。這種推動使DevOps團隊尋求了更快移動和更快推出應(yīng)用程序的方式?！?/p>

根據(jù)云計算威脅報告，Unit42的研究確定了基礎(chǔ)設(shè)施中大約200，000個潛在漏洞作為代碼模板。此外，超過43%的云計算數(shù)據(jù)庫未加密。另外40%的云存儲服務(wù)未激活日志記錄。

Chiodi表示，組織通常將基礎(chǔ)設(shè)施實現(xiàn)為代碼模板，因為它們可以使開發(fā)人員更快地工作。他說，問題不在于基礎(chǔ)設(shè)施作為代碼模板，而在于開發(fā)人員匆忙不對模板執(zhí)行安全性或風險檢查，從而在其云計算環(huán)境中引入漏洞。

他說，這種對基礎(chǔ)設(shè)施的錯誤配置可能會留下網(wǎng)絡(luò)犯罪分子尋求加密劫持和其他惡意手段的機會。此外，Chiodi說，在云計算環(huán)境中禁用日志記錄將使捕獲此類不良行為者變得更加困難。幾乎不可能證明或證明有違規(guī)行為。

他說，盡管已經(jīng)努力向開發(fā)人員介紹安全的重要性，但大多數(shù)開發(fā)人員仍認為，他們的首要任務(wù)是盡快推出新功能。Chiodi說：“他們本來可以設(shè)計安全性的，但在許多情況下不會發(fā)生這種情況。許多組織尚未接受DevSecOps的概念?！?/p>

Unit42的研究表明，諸如消費者公司之類的前瞻性組織希望以云計算規(guī)模運營，為眾多用戶提供服務(wù)，同時保持安全性。Chiodi引用Netflix作為一家這樣做的公司是因為它完全集成了開發(fā)、安全性和運營。他建議安全團隊也應(yīng)該將基礎(chǔ)設(shè)施作為代碼，以自動將書面安全策略放入代碼中。他說：“這樣，開發(fā)人員創(chuàng)建新的云計算環(huán)境時，如果已正確編寫安全標準編碼，則他們每次使用該模板創(chuàng)建的時間都將相同?！毕喾?，Chiodi說，具有漏洞的模板每次應(yīng)用都會重復(fù)這些漏洞。

隨著組織繼續(xù)快速發(fā)展，他認為他們需要提高對云中運行內(nèi)容的可見性，從而增強了執(zhí)行安全標準的重要性。Chiodi說：“人們無法保護看不到的東西。”