许多组织继续做出选择以快速创新,这使他们不必要地容易受到攻击。开发人员可能会感到需要快速部署的压力,但为了节省时间而跳过安全措施可能会为持续的风险敞开大门。Unit42发布的最新《云计算威胁报告》调查结果显示,不幸的是,快速发展的竞争战略与对安全政策的松懈关注相结合。Unit42是网络安全提供商PaloAltoNetworks的威胁情报部门。随着组织将更多的工作负载转移到云端,对强大安全性的需求似乎几乎是学术性的。PaloAltoNetworks首席公共云安全官MatthewChiodi表示,问题在于这些组织的驱动力是要保持领先于竞争对手,这可能会导致数据泄露。“我们在去年7月的上一份报告中发现的一件大事是,65%的公开披露的云安全事件是客户错误配置的结果,”他说。他说,最新的报告旨在解决该比例如此之高的原因。Chiodi说,传统的本地数据中心报告的安全事件可能较少,部分原因是广泛的变更管理和控制。“要在这些环境中做出改变,通常必须获得多项批准。由于持续需要保持相关性并在竞争中保持领先地位,此类协议可能会在云中放宽。企业CEO的成长和创新速度将超过成本。这种推动让DevOps团队寻找更快移动和更快推出应用程序的方法。”根据云计算威胁报告,Unit42的研究发现基础架构中约有200,000个潜在漏洞作为代码模板。此外,超过43%的云计算数据库未加密。另有40%的云存储服务未激活日志记录。Chiodi说,“通常将基础设施作为代码模板实施,因为它们使开发人员能够更快地工作。问题不在于基础设施作为代码模板,而是开发人员急于不对模板执行安全或风险检查,从而将漏洞引入他们的云计算他说,基础设施的这种错误配置可能会给网络犯罪分子留下利用加密劫持和其他恶意手段的机会。此外,Chiodi说,在云计算环境中禁用日志记录将使抓到此类不良行为者变得更加困难。几乎不可能证明或证明违规。尽管努力教育对于开发人员安全的重要性,大多数开发人员仍然认为他们的首要任务是尽快推出新功能,他说。“他们本可以设计安全性,但在很多情况下这不会发生。许多组织还没有接受DevSecOps的概念,”Chiodi说。Unit42的研究表明,消费品公司等具有前瞻性的组织希望云计算能够大规模运营,为众多用户提供服务,同时保持安全性。Chiodi称Netflix是一家这样做的公司,因为它完全集成了开发、安全和运营。他建议安全团队也应该实施基础架构即代码,以自动将编写的安全策略放入代码中。“这样一来,当开发人员创建一个新的云计算环境时,如果他们正确地编写了安全标准代码,那么他们每次使用该模板时都会同时创建它,”他说。应用程序重复这些漏洞。随着组织继续快速发展,他认为他们需要提高对云中运行内容的可见性,从而提高执行安全标准的重要性。“人们无法保护他们看不到的东西,”奇奥迪说。
