DevOps需要转变为DevSecOps来关闭云中的安全威胁

根据Oracle和毕马威的一份新报告，每个人都很难保证云部署的安全。 《2020年威胁报告：应对不断变化的国家中的安全配置》发现，92%的IT专业人员认为他们的组织没有做好确保公共云服务的充分准备。

两个最大的安全风险是拥有太多特权的管理帐户和管理不善的云秘密，如密钥、帐户凭据和密码。

报告还发现：.

以下是对超特权帐户的问题的回顾，以及关于如何在软件开发中实现DevSec操作方法可以关闭云部署中的安全漏洞的建议。

今年的云威胁报告的一个关键线索是特权云凭据是坏演员的新切入点。 甲骨文/毕马威的报告发现，59%的受访者认为，拥有特权云账户的团队成员的证书因钓鱼攻击而受到损害。

SEE：谷歌云平台：内部人士指南(免费PDF)

报告建议执行最小权限访问策略，特别是在多云环境中。 这是不容易的，因为抽象的环境具有“用户、帐户和云之间多对多关系的矩阵可以说使实现最小特权变得复杂，正如我们的研究结果所证明的那样。”

同时，调查发现，过度特权账户是配置错误最多的云服务，37%的受访者认为这个问题是最大的问题。 这一清单还包括：

最常被引用的配置错误的云服务，即特权过高的帐户，与未受保护的云秘密直接相关，这是报告确定的另一个重大云威胁。

这些特权云凭据是攻击者所需要的，因为有很高比例的组织报告了旨在窃取这些凭据的矛钓鱼攻击。 被盗的特权云凭据可以用来访问额外的云密，从那里可以访问许多其他服务，包括数据存储，如数据库和对象存储。 答复者指出，在未受保护的地点发现了秘密，例如：

报告的作者指出，这个问题——将云的秘密存储在没有保护的地方的清晰文本中——是相互竞争的目标的副产品：开发团队行动迅速，没有考虑他们将秘密放在哪里。 实现最小权限策略和使用硬件存储模型或密钥库可以解决这个问题。

报告指出，为了减少云部署中的安全威胁，安全必须成为一项业务需求和一项共同责任，而不是事后考虑。 采用DevOps方法进行软件开发是这一转变的一部分。 该报告发现，DevOps不再是一种仅由云计算公司使用的方法。 调查受访者报告说，DevOps正在被广泛采用，只有6%的受访者表示他们没有计划使用这种方法。 Dev Ops正在成为主流，“近三分之一的受访者已经开始使用Dev Ops，近四分之一的人计划在未来12-24个月内这样做，另三分之一的人有兴趣这样做。”

这一演变的下一个阶段是将安全集成到日常的DevOps工作中。 公司不太赞同这一变化，因为超过三分之一的受访者表示，他们的组织已经将安全纳入了他们的DevOps流程。

报告作者认为，许多公司都没有机会从设计阶段建立一种安全文化。

为了构建一个安全的DevOps程序，通过与连续集成和连续交付(CI/CD)工具链的集成来实现网络安全过程和控制的自动化，组织必须将安全遗留到dev-time和构建时间中。 这些工具和做法支持过渡：

46%的受访者表示，使用DevSecOps方法的最重要原因是将安全性支持到连续传递工具链的每个阶段。 协作和效率是下一个最重要的合规因素。

今年的报告是五个部分的系列报告中的第一份，后续报告提供了关于中心云安全主题的研究结果的见解，包括：

本报告提供的数据是通过企业战略小组在2019年12月16日至2020年1月16日期间对北美（美国和加拿大)、西欧(英国和法国)和亚太(澳大利亚、日本和新加坡）私营和公共部门组织的750名网络安全和信息技术专业人员进行的在线调查收集的。 为了符合这项调查的资格，答复者必须负责评估、购买和管理网络安全技术产品和服务，并对其组织的公共云利用有很高的熟悉程度。 所有答复者都得到了完成调查的动力。