很多組織為了快速創(chuàng)新而繼續(xù)做出選擇，這會使他們不必要地處于脆弱狀態(tài)。

開發(fā)人員可能會感到急于部署的壓力，但是為節(jié)省時間而略過安全性可能會給持續(xù)存在的風險敞開大門。Unit42公司發(fā)布的最新《云計算威脅報告》的發(fā)現表明，快速行動、競爭性戰(zhàn)略以及對安全策略的關注松懈，這是很不幸的。Unit42是網絡安全提供商Palo Alto Networks的威脅情報部門。

[[317116]]

隨著組織將更多工作負載遷移到云中，對健壯安全性的需求看起來幾乎是學術性的。Palo Alto Networks的公共云首席安全官MatthewChiodi表示，問題在于，這些組織是由保持領先于競爭對手的需求所驅動的，這可能會導致數據泄露。他說：“在去年7月發(fā)布的上一份報告中，我們發(fā)現的一大事情是，公開披露的云安全事件中有65%是客戶配置錯誤的結果。”他說，最新報告旨在解決比率為何如此之高的原因。

Chiodi說，傳統的本地數據中心報告的安全事件可能更少，部分原因是廣泛的變更管理和控制。他說：“要在這些環(huán)境中進行更改，通常必須獲得多個批準。由于持續(xù)需要相關性并在競爭中處于領先地位，因此此類協議可能會在云中放寬。企業(yè)首席執(zhí)行官們將增長和創(chuàng)新速度置于成本之上。這種推動使DevOps團隊尋求了更快移動和更快推出應用程序的方式。”

根據云計算威脅報告，Unit42的研究確定了基礎設施中大約200,000個潛在漏洞作為代碼模板。此外，超過43%的云計算數據庫未加密。另外40%的云存儲服務未激活日志記錄。

Chiodi表示，組織通常將基礎設施實現為代碼模板，因為它們可以使開發(fā)人員更快地工作。他說，問題不在于基礎設施作為代碼模板，而在于開發(fā)人員匆忙不對模板執(zhí)行安全性或風險檢查，從而在其云計算環(huán)境中引入漏洞。

他說，這種對基礎設施的錯誤配置可能會留下網絡犯罪分子尋求加密劫持和其他惡意手段的機會。此外，Chiodi說，在云計算環(huán)境中禁用日志記錄將使捕獲此類不良行為者變得更加困難。幾乎不可能證明或證明有違規(guī)行為。

他說，盡管已經努力向開發(fā)人員介紹安全的重要性，但大多數開發(fā)人員仍認為，他們的首要任務是盡快推出新功能。Chiodi說：“他們本來可以設計安全性的，但在許多情況下不會發(fā)生這種情況。許多組織尚未接受DevSecOps的概念。”

Unit42的研究表明，諸如消費者公司之類的前瞻性組織希望以云計算規(guī)模運營，為眾多用戶提供服務，同時保持安全性。Chiodi引用Netflix作為一家這樣做的公司是因為它完全集成了開發(fā)、安全性和運營。他建議安全團隊也應該將基礎設施作為代碼，以自動將書面安全策略放入代碼中。他說：“這樣，開發(fā)人員創(chuàng)建新的云計算環(huán)境時，如果已正確編寫安全標準編碼，則他們每次使用該模板創(chuàng)建的時間都將相同。”相反，Chiodi說，具有漏洞的模板每次應用都會重復這些漏洞。

隨著組織繼續(xù)快速發(fā)展，他認為他們需要提高對云中運行內容的可見性，從而增強了執(zhí)行安全標準的重要性。Chiodi說：“人們無法保護看不到的東西。”