Er zijn redelijk veel cloudproviders die standaard onveilige configuraties aanbieden, zoals optionele encryptie, zwak authenticatiebeleid zonder multifactorauthenticatie, het uitgeschakeld staan van logbestanden en het toestaan van "password" als wachtwoord voor het root-account, zo stelt het Britse National Cyber Security Centre (NCSC). Organisaties doen er dan ook verstandig aan om cloudproviders te kiezen die 'secure by default' zijn. Namen van cloudproviders met onveilige instellingen zijn niet gegeven.

Wanneer verschillende cloudproviders dezelfde beveiligingsfeature bieden, moet de provider worden gekozen waar die standaard staat ingeschakeld, aldus advies van het NCSC. Daarnaast moet het verlagen van de beveiliging alleen mogelijk zijn door middel van een doelbewuste actie. Volgens het NCSC kan het kiezen voor een cloudprovider het leven van organisaties eenvoudiger maken, maar is het nog altijd de verantwoordelijkheid van de klant om clouddiensten goed te configureren.

Het NCSC stelt verder dat veel providers nog geen diensten aanbieden die secure by design en by default zijn. "Terwijl ze hier aan werken zouden ze je tenminste security-templates, blauwdrukken, scripts en handleidingen moeten geven zodat je eenvoudig hun dienst kan beveiligen", aldus de Britse overheidsinstantie.