调查显示有关云安全的保障是令人担忧的

本篇文章976字，读完约2分钟

扫描云工作负载的工具提供商orca security最近发布的一份报告显示，云安全的分担责任方法并不像大多数组织希望的那样成功。

根据对运行在亚马逊网络服务(AWS)、微软Azure和谷歌云平台(gcp)上的300，000个公共云资产的200万次扫描的分析，我们发现云安全是落后的:超过80%的组织至少有一个被忽视、运行在不受支持的操作系统上或超过180天没有修补面向互联网的工作负载。

此外，该报告还发现，60%的组织至少有一个被忽视的面向互联网的工作负载已经过期，因为安全更新不再可用。

该报告还发现，近一半的组织(49%)至少有一台可公开访问且未打补丁的web服务器，而44%的组织有面向互联网的工作负载，其中包括机密和凭据，包括明文密码、应用程序编程接口(api)密钥哈希密码以及可促进跨云环境横向访问的哈希密码。

至少有一个云帐户的近四分之一(24%)不使用超级管理员用户的多因素身份验证，而19%的云帐户拥有可通过非企业凭据访问的云资产。

不幸的是，报告指出，互联网面临的工作量并没有好多少。超过四分之三(77%)的组织至少有10%的内部工作负载处于被忽视的安全状态。

orca security首席执行官阿维舒亚(Avishua)表示，尽管devsecops取得了进展，但网络安全团队和开发者之间仍有明确的责任分工。他说，错误总是会发生的，所以网络安全专业人员也需要验证是否实施了正确的控制措施。

当网络安全团队长期缺乏人员，部署在云中的工作负载数量呈指数级增长时，挑战在于如何实现这一目标。Shua指出，it组织需要定义一个流程来自动化尽可能多的云安全验证流程。

大多数企业对云安全的担忧与云服务提供商提供的基础设施无关。相反，这是因为开发人员依赖模板来自动化云服务的配置，例如，导致端口保持开放或暴露应用程序秘密。至少在理论上，作为向最佳开发最佳实践转变的一部分，开发人员承担了更多实现安全控制的责任。然而，在现实中，开发人员一致实现这些控件的能力仍然是不平衡的。

不管是好是坏，在云中部署应用程序工作负载的速度不会很快下降，尤其是在covid-19大流行导致的经济衰退之后。不管你喜不喜欢，许多网络安全团队都需要接受这样一个事实，即使开发人员变得更加注重安全，正如一位著名的总统曾经指出的那样，他们总是需要被信任，但需要被验证。

来源：搜狐微门户