调查显示有关云安全的保障是令人担忧的

Orca Security（一家用于扫描云工作负载的工具的提供商）最近发布的一份报告表明，云安全的分担责任方法并没有像大多数组织所希望的那样成功。

根据对Amazon Web Services（AWS）Microsoft Azure和Google Cloud Platform（GCP）上运行的30万个公共云资产进行的200万次扫描分析后，结果发现云安全性落后：超过80％的组织至少有一家被忽略，运行在不受支持的操作系统上或未修补超过180天的面向Internet的工作负载。

此外报告还发现，有60％的组织至少有一个被忽略的面向Internet的工作负载已经到期，因为不再提供安全更新。

该报告还发现，将近一半的组织（49％）拥有至少一台可公开访问且未打补丁的Web服务器，而44％的组织具有面向互联网的工作负载，其中包含机密和凭据，包括明文密码，应用程序编程接口（API）密钥哈希密码以及可以促进跨云环境横向访问的哈希密码。

将近四分之一（24％）的至少一个云帐户未对超级管理员用户使用多因素身份验证，而19％的云帐户具有可通过非企业凭据访问的云资产。

遗憾的是在该报告中指出，面对互联网的工作负载并没有好得多。超过四分之三（77％）的组织至少有10％的内部工作负载处于被忽略的安全状态。

Orca安全CEO Avi Shua表示，尽管DevSecOps取得了进展，但网络安全团队和开发者之间仍有明确的责任划分。他说，错误总是会犯的，因此网络安全专业人士也需要核实是否实施了正确的控制措施。

当网络安全团队长期缺乏人员并且云中部署的工作负载数量呈指数级增长时，挑战就在于如何实现这一目标。 Shua指出，IT组织需要定义一个流程，以使尽可能多的云安全验证流程自动化。

企业对云安全的大多数担忧与云服务提供商提供的基础架构无关。相反，这是因为开发人员依靠模板来自动化云服务的配置，例如，导致端口保持打开状态或暴露应用程序机密。至少从理论上讲，作为向最佳DevSecOps最佳实践转移的一部分，开发人员承担了实施安全控制的更多责任。但是，实际上，开发人员始终如一地实施这些控件的能力仍然不平衡。

不管是好是坏，在云中部署应用程序工作负载的速度不会很快降低，尤其是在COVID-19大流行带来的经济衰退之后。不管喜欢与否，许多网络安全团队都需要接受这样一个事实，即即使开发人员变得更加注重安全，正如一位著名总统曾经指出的那样，始终需要信任但要核实。