[db:标签]��[db:标签]��云工作负载的工具提供商OrcA SECurity最近发布的一份报告显示，云安全的分担责任方法并不像大多数组织希望的那样成功。

根据对运行在亚马逊网络服务(AWS)、微软Azure和谷歌云平台(GCP)上的30万个公共云资产的200万次扫描的分析，发现云安全落后:超过80%的组织至少有一个被忽视、运行在不受支持的操作系统上或超过180天没有修补面向互联网的工作负载。

此外，该报告还发现，60%的组织至少有一个被忽略的面向互联网的工作负载已经过期，因为安全更新不再可用。

该报告还发现，近一半的组织(49%)至少有一台可公开访问且未打补丁的网络服务器，而44%的组织有面向互联网的工作负载，其中包括机密和凭据，包括明文密码、应用程序编程接口(API)密钥哈希密码以及可促进跨云环境横向访问的哈希密码。

至少有一个云帐户的近四分之一(24%)不对超级管理员用户使用多因素身份验证，而19%的云帐户拥有可通过非企业凭据访问的云资产。

不幸的是，这份报告指出，互联网面临的工作量并没有好多少。超过四分之三(77%)的组织至少有10%的内部工作负载处于被忽视的安全状态。

Orca security公司的首席执行官阿维舒亚说，尽管DevSecOps已经取得了进展，但网络安全团队和开发者之间仍然有明确的职责分工。他说，错误总是会发生的，所以网络安全专业人员也需要验证是否实施了正确的控制措施。

当网络安全团队长期缺乏人员，部署在云中的工作负载数量呈指数级增长时，挑战在于如何实现这一目标。Shua指出，信息技术组织需要定义一个流程来自动化尽可能多的云安全验证流程。

大多数企业对云安全的担忧与云服务提供商提供的基础设施无关。相反，这是因为开发人员依赖模板来自动化云服务的配置，例如，导致端口保持开放或暴露应用程序秘密。至少在理论上，作为向最佳开发实践转变的一部分，开发人员承担了更多实现安全控制的责任。然而，在现实中，开发人员一致实现这些控件的能力仍然是不平衡的。

不管是好是坏，在云中部署应用程序工作负载的速度不会很快下降，尤其是在COVID-19大流行导致的经济衰退之后。不管你喜不喜欢，许多网络安全团队都需要接受这样一个事实，即使开发人员变得更加注重安全，正如一位著名的总统曾经指出的那样，他们总是需要被信任，但需要被验证。