根據Oracle和畢馬威的一份新報告，每個人都很難保證云部署的安全。 《2020年威脅報告：應對不斷變化的國家中的安全配置》發現，92%的IT專業人員認為他們的組織沒有做好確保公共云服務的充分準備。

兩個最大的安全風險是擁有太多特權的管理帳戶和管理不善的云秘密，如密鑰、帳戶憑據和密碼。

報告還發現：.

以下是對超特權帳戶的問題的回顧，以及關于如何在軟件開發中實現DevSec操作方法可以關閉云部署中的安全漏洞的建議。

今年的云威脅報告的一個關鍵線索是特權云憑據是壞演員的新切入點。 甲骨文/畢馬威的報告發現，59%的受訪者認為，擁有特權云賬戶的團隊成員的證書因釣魚攻擊而受到損害。

SEE：谷歌云平臺：內部人士指南(免費PDF)

報告建議執行最小權限訪問策略，特別是在多云環境中。 這是不容易的，因為抽象的環境具有“用戶、帳戶和云之間多對多關系的矩陣可以說使實現最小特權變得復雜，正如我們的研究結果所證明的那樣。”

同時，調查發現，過度特權賬戶是配置錯誤最多的云服務，37%的受訪者認為這個問題是最大的問題。 這一清單還包括：

最常被引用的配置錯誤的云服務，即特權過高的帳戶，與未受保護的云秘密直接相關，這是報告確定的另一個重大云威脅。

這些特權云憑據是攻擊者所需要的，因為有很高比例的組織報告了旨在竊取這些憑據的矛釣魚攻擊。 被盜的特權云憑據可以用來訪問額外的云密，從那里可以訪問許多其他服務，包括數據存儲，如數據庫和對象存儲。 答復者指出，在未受保護的地點發現了秘密，例如：

報告的作者指出，這個問題——將云的秘密存儲在沒有保護的地方的清晰文本中——是相互競爭的目標的副產品：開發團隊行動迅速，沒有考慮他們將秘密放在哪里。 實現最小權限策略和使用硬件存儲模型或密鑰庫可以解決這個問題。

報告指出，為了減少云部署中的安全威脅，安全必須成為一項業務需求和一項共同責任，而不是事后考慮。 采用DevOps方法進行軟件開發是這一轉變的一部分。 該報告發現，DevOps不再是一種僅由云計算公司使用的方法。 調查受訪者報告說，DevOps正在被廣泛采用，只有6%的受訪者表示他們沒有計劃使用這種方法。 Dev Ops正在成為主流，“近三分之一的受訪者已經開始使用Dev Ops，近四分之一的人計劃在未來12-24個月內這樣做，另三分之一的人有興趣這樣做。”

這一演變的下一個階段是將安全集成到日常的DevOps工作中。 公司不太贊同這一變化，因為超過三分之一的受訪者表示，他們的組織已經將安全納入了他們的DevOps流程。

報告作者認為，許多公司都沒有機會從設計階段建立一種安全文化。

為了構建一個安全的DevOps程序，通過與連續集成和連續交付(CI/CD)工具鏈的集成來實現網絡安全過程和控制的自動化，組織必須將安全遺留到dev-time和構建時間中。 這些工具和做法支持過渡：

46%的受訪者表示，使用DevSecOps方法的最重要原因是將安全性支持到連續傳遞工具鏈的每個階段。 協作和效率是下一個最重要的合規因素。

今年的報告是五個部分的系列報告中的第一份，后續報告提供了關于中心云安全主題的研究結果的見解，包括：

本報告提供的數據是通過企業戰略小組在2019年12月16日至2020年1月16日期間對北美（美國和加拿大)、西歐(英國和法國)和亞太(澳大利亞、日本和新加坡）私營和公共部門組織的750名網絡安全和信息技術專業人員進行的在線調查收集的。 為了符合這項調查的資格，答復者必須負責評估、購買和管理網絡安全技術產品和服務，并對其組織的公共云利用有很高的熟悉程度。 所有答復者都得到了完成調查的動力。