調(diào)查顯示有關(guān)云安全的保障是令人擔(dān)憂的

Orca Security（一家用于掃描云工作負(fù)載的工具的提供商）最近發(fā)布的一份報(bào)告表明，云安全的分擔(dān)責(zé)任方法并沒(méi)有像大多數(shù)組織所希望的那樣成功。

根據(jù)對(duì)Amazon Web Services（AWS）Microsoft Azure和Google Cloud Platform（GCP）上運(yùn)行的30萬(wàn)個(gè)公共云資產(chǎn)進(jìn)行的200萬(wàn)次掃描分析后，結(jié)果發(fā)現(xiàn)云安全性落后：超過(guò)80％的組織至少有一家被忽略，運(yùn)行在不受支持的操作系統(tǒng)上或未修補(bǔ)超過(guò)180天的面向Internet的工作負(fù)載。

此外報(bào)告還發(fā)現(xiàn)，有60％的組織至少有一個(gè)被忽略的面向Internet的工作負(fù)載已經(jīng)到期，因?yàn)椴辉偬峁┌踩隆?/p>

該報(bào)告還發(fā)現(xiàn)，將近一半的組織（49％）擁有至少一臺(tái)可公開(kāi)訪問(wèn)且未打補(bǔ)丁的Web服務(wù)器，而44％的組織具有面向互聯(lián)網(wǎng)的工作負(fù)載，其中包含機(jī)密和憑據(jù)，包括明文密碼，應(yīng)用程序編程接口（API）密鑰哈希密碼以及可以促進(jìn)跨云環(huán)境橫向訪問(wèn)的哈希密碼。

將近四分之一（24％）的至少一個(gè)云帳戶未對(duì)超級(jí)管理員用戶使用多因素身份驗(yàn)證，而19％的云帳戶具有可通過(guò)非企業(yè)憑據(jù)訪問(wèn)的云資產(chǎn)。

遺憾的是在該報(bào)告中指出，面對(duì)互聯(lián)網(wǎng)的工作負(fù)載并沒(méi)有好得多。超過(guò)四分之三（77％）的組織至少有10％的內(nèi)部工作負(fù)載處于被忽略的安全狀態(tài)。

Orca安全CEO Avi Shua表示，盡管DevSecOps取得了進(jìn)展，但網(wǎng)絡(luò)安全團(tuán)隊(duì)和開(kāi)發(fā)者之間仍有明確的責(zé)任劃分。他說(shuō)，錯(cuò)誤總是會(huì)犯的，因此網(wǎng)絡(luò)安全專業(yè)人士也需要核實(shí)是否實(shí)施了正確的控制措施。

當(dāng)網(wǎng)絡(luò)安全團(tuán)隊(duì)長(zhǎng)期缺乏人員并且云中部署的工作負(fù)載數(shù)量呈指數(shù)級(jí)增長(zhǎng)時(shí)，挑戰(zhàn)就在于如何實(shí)現(xiàn)這一目標(biāo)。 Shua指出，IT組織需要定義一個(gè)流程，以使盡可能多的云安全驗(yàn)證流程自動(dòng)化。

企業(yè)對(duì)云安全的大多數(shù)擔(dān)憂與云服務(wù)提供商提供的基礎(chǔ)架構(gòu)無(wú)關(guān)。相反，這是因?yàn)殚_(kāi)發(fā)人員依靠模板來(lái)自動(dòng)化云服務(wù)的配置，例如，導(dǎo)致端口保持打開(kāi)狀態(tài)或暴露應(yīng)用程序機(jī)密。至少?gòu)睦碚撋现v，作為向最佳DevSecOps最佳實(shí)踐轉(zhuǎn)移的一部分，開(kāi)發(fā)人員承擔(dān)了實(shí)施安全控制的更多責(zé)任。但是，實(shí)際上，開(kāi)發(fā)人員始終如一地實(shí)施這些控件的能力仍然不平衡。

不管是好是壞，在云中部署應(yīng)用程序工作負(fù)載的速度不會(huì)很快降低，尤其是在COVID-19大流行帶來(lái)的經(jīng)濟(jì)衰退之后。不管喜歡與否，許多網(wǎng)絡(luò)安全團(tuán)隊(duì)都需要接受這樣一個(gè)事實(shí)，即即使開(kāi)發(fā)人員變得更加注重安全，正如一位著名總統(tǒng)曾經(jīng)指出的那樣，始終需要信任但要核實(shí)。