主要观点：云计算提供无与伦比的可扩展性和灵活性，但也带来新的安全挑战，开发者需采取主动措施保障应用、基础设施和敏感数据安全。
关键信息：

• 介绍涵盖身份和访问管理（IAM）等 9 个方面的云安全最佳实践。
• 分别阐述各最佳实践的具体内容，如 IAM 要遵循最小权限原则等，各举例说明。
• 强调持续监控、Web 应用安全、DevSecOps 等的重要性。
• 提出零信任架构及合规治理的最佳实践。
  重要细节：
• IAM 可控制谁能访问资源及能执行的操作，有多种最佳实践如应用最小特权原则等。
• 数据加密方面，要对数据在 rest 和 transit 时加密等。
• API 安全要使用特定认证方式等，可扫描 API 漏洞。
• 云存储和数据库要限制公共访问等。
• 日志、监控和威胁检测要启用相关服务设置警报等。
• Web 应用安全要使用 WAF 等，定期进行渗透测试。
• DevSecOps 要在 CI/CD 管道中实施自动化安全测试等。
• 零信任架构要实施连续认证等。
• 合规治理要进行定期审计等。
  结论：保障云应用安全需综合、多层策略，包含各方面最佳实践，零信任原则减少风险，DevSecOps 早期集成安全，自动化和持续合规检查重要，安全是团队共同责任，此方法能让团队放心创新。