《云计算的11类顶级威胁》由会员分享,可在线阅读,更多相关《云计算的11类顶级威胁(49页珍藏版)》请在金锄头文库上搜索。
1、2020 云安全联盟-版权所有 1 云计算的 1 11 1 类 顶级威胁 2020 云安全联盟-版权所有 3 感谢我们的赞助商感谢我们的赞助商 云安全联盟(CSA)是一个非营利性的、由成员推动的组织,致力于定义最佳实践 及提高对它的认识,以确保安全的云计算环境。基于行业从业者、协会、政府、以及企 业和个人会员的专业知识,CSA 提供云安全研究、教育、认证、活动和产品。CSA 的活 动、知识和广泛的网络使受云计算影响的整个社区从提供商和客户,到政府、企业家 和保证行业都受益匪浅,并提供了一个论坛,让不同的各方可以通过这个论坛共同创 造和维护一个值得信赖的云生态系统。CSA 研究以独立于厂商的中立
2、、灵活和结果的完 整为荣。 感谢 ExtraHop 为研究的发展提供资金支持,并确保 CSA 研究生命周期内的质量控 制。 ExtraHop 是 CSA 企业会员,他们支持研究项目的研究成果,但对 CSA 研究的内容 开发或编辑权没有额外的影响。 2020 云安全联盟-版权所有 4 目录目录 鸣谢.5 序言.7 概要.8 1.安全问题:数据泄露.9 2.安全问题:配置错误和变更控制不足.12 3.安全问题:缺乏云安全架构和策略.15 4.安全问题:身份,凭据,访问和密钥管理的不足.18 5.安全问题:账户劫持.24 6.安全问题:内部威胁.27 7.安全问题:不安全接口和 API.31 8.安
3、全问题:控制面薄弱.34 9.安全问题:元结构和应用结构失效.37 10.安全问题:有限的云使用可见性.42 11.安全问题:滥用及违法使用云服务.46 结论.49 附录:方法论.50 关于赞助者.51 2020 云安全联盟-版权所有 5 鸣谢鸣谢 贡贡献献者者 Jon-Michael C. Brook Alexander Getsin Greg Jensen Laurie Jameson Michael Roza Neha Thethi Ashish Kurmi Shachaf Levy Shira Shamban Vic Hargrave Victor Chin Zoran Lalic R
4、andall Brooks 云云安安全全联联盟盟全全球球成成员员 Victor Chin Stephen Lumpe (Cover Art) AnnMarie Ulskey (Design) 主主席席 Jon-Michael C. Brook 修修订订记记录录 批准 John Yeoh John Yeoh John Yeoh Frank Guanco 日期 2019 年 8 月 6 日 2019 年 10 月 1 日 2020 年 2 月 4 日 2020 年 4 月 8 日 注解 原文刊载 勘误,略作调整 增加赞助商 少量更新 2020 云安全联盟-版权所有 6 中文版翻译说明中文版翻译说明
5、 由云安全联盟大中华区(CSA GCR)秘书处组织翻译云计算的 11 类顶级威胁 (Top Threats to Cloud Computing The Egregious 11),云安全联盟大中华区专家翻译 并审校。 翻译审校工作专家:(按字母顺序排序)翻译审校工作专家:(按字母顺序排序) 组长:沈勇 组员:陈皓、伏伟任、高巍、江楠(腾讯云)、靳明星(易安联)、李岩、刘宇馨 (奇安信)、欧建军、唐宇(龙湖集团)、王安宇(OPPO)、王贵宗、王永霞(腾讯云) 、 杨喜龙、于乐、余晓光(华为)、张威 在此感谢以上参与该文档的翻译审校工作的专家及工作人员。如译文有不妥当之处, 敬请读者联系 CSA
6、 GCR 秘书处给与雅正! 联系邮箱:infoc-; 云安全联盟 CSA 公众号: 2020 云安全联盟-版权所有 7 序言序言 如今,越来越多的企业正在将数据和应用程序迁移到云中,这带来了独特的信息安 全挑战。而企业在使用云计算服务时将面临 11 个主要的云安全威胁。保护企业在云中 数据的主要责任并完全不在于服务提供商,而主要在于客户本身。为了使组织对云安全 问题有新的了解, 以便他们可以就云采用策略做出有根据的决策, 云安全联盟 CSA 发布 了新版本的云计算的 11 类顶级威胁,报告反映了 CSA 安全专家之间当前就云中重 要的安全问题达成的共识。尽管云中存在许多安全问题,但这个列表主要
7、关注 11 个与 云计算的共享、按需特性相关的问题。本报告由 CSA 全球云威胁工作组专家们原创,大 中华区云安全专家们翻译, 相信与以前的各版本那样对近期开始云转型和已经采用云服 务的企业会有所帮助。 李雨航 Yale Li CSA 大中华区主席兼研究院院长 2020 云安全联盟-版权所有 8 概要概要 “顶级威胁”报告一贯旨在提高对云平台威胁,风险和漏洞的认识。此类问题通 常由云计算按需和共享的天生特征导致。在第四部分中,我们再次就云行业安全问题与 241 位行业专家进行调查。今年,我们的受访者对其云环境中的 11 个主要威胁,风险 和漏洞进行了评估。最高威胁工作组结合调查结果及专业知识来
8、撰写 2019 年最终报告 (“本报告”)。 最新报告按调查结果重要程度着重介绍了前 11 个威胁(括号中是以往的排名): 1.数据泄露(1) 2.配置错误和变更控制不足 3.缺乏云安全架构和策略 4.身份,凭证,访问和密钥管理不足 5.帐户劫持(5) 6.内部威胁(6) 7.不安全的接口和 API(3) 8.控制平面薄弱 9.元结构和应用程序结构失效 10.有限的云使用可见性 11.滥用及违法使用云服务(10) 观察和理由观察和理由 在分析了此调查的所有回复之后,我们注意到在云服务提供商(CSP)的努力下, 传统云安全问题的排名有所下降。拒绝服务,共享技术漏洞以及云服务提供商数据丢失 和系统
9、漏洞之类的担忧(在以前的潜在风险 TOP 12 中都具有)现在的评分非常低,已 不在本报告之列。这表明,由云服务提供商负责的传统安全问题似乎已经有效的缓解。 相反, 我们看到更多的是需要解决那些位于技术栈更高层次的安全问题,这些问题是高 级管理层决策的结果。 在调查中,评分最高的新项目更加细微,表明消费者对云的理解日益成熟。这些问 2020 云安全联盟-版权所有 9 题本质上是云计算的固有特性,表明消费者正在积极考虑向云迁移的技术环境。这些主 题涉及潜在的控制平面缺陷,元结构和应用结构故障以及有限的云可见性。这些新的重 点与以前的 关键威胁(Top Threats)报告中更为突出的通用威胁,风
10、险和漏洞(即 数据丢失,拒绝服务)明显不同。 我们希望本报告能够提高组织对最重要的安全问题及其应对措施的认识, 并确保在 为云迁移和安全性制定预算时将其考虑在内。该报告提供了控制建议和参考示例,旨在 供合规,风险和技术人员使用。管理层也能够从本报告的技术趋势和概述中受益。 1.1.安全问题:数据泄露安全问题:数据泄露 数据泄露是指敏感、受保护或机密信息被未经授 权的个人发布、查看、窃取或使用的网络安全事件。 数据泄露可能是蓄意攻击的主要目的,也可能仅仅是 人为错误、应用程序漏洞或安全措施不足的结果。数 据泄露涉及任何非公开发布的信息,包括但不限于个 人健康信息、财务信息、个人可识别信息(PII)、商 业秘密和知识产权。 业务影响业务影响 数据泄露的负面后果可能包括: 1.对客户或合作伙伴声誉和信任的影响 2.丢失应对竞争对手的知识产权,可能影响产品 发布 3.监管影响:可能导致的财务损失 4.品牌影响:由于上述原因导致的市场价值减少 5.法律和合同责任 6.应急响应和取证所产生的财务花销 有一些数据泄露的情况在发生后几个月才被发现。在此类事件中,其影响可能不会 历史排名历史排名 顶级威胁 1顶级威胁 1 安全责任安全责任 客户 云服务供应
