云计算的 11 类 顶级威胁 m o c . 5 b u h t i g ©2020 云安全联盟-版权所有 1 @2020 云安全联盟-保留所有权利。你可以在你的电脑上下载、储存、展示、查看、打印及, 或者访问云安全联盟官网(https://cloudsecurityalliance.org)。须遵守以下: (a)本文只可作 个人、信息获取、非商业用途;(b) 本文内容不得篡改; (c)本文不得转发; (d)该商标、版权或其 他声明不得删除。 在遵循美国版权法相关条款情况下合理使用本文内容,使用时请注明引用于 云安全联盟。 m o c . 5 b u h t i g ©2020 云安全联盟-版权所有 2 感谢我们的赞助商 云安全联盟(CSA)是一个非营利性的、由成员推动的组织,致力于定义最佳实践 及提高对它的认识,以确保安全的云计算环境。基于行业从业者、协会、政府、以及企 业和个人会员的专业知识,CSA 提供云安全研究、教育、认证、活动和产品。CSA 的活 动、知识和广泛的网络使受云计算影响的整个社区—从提供商和客户,到政府、企业家 和保证行业—都受益匪浅,并提供了一个论坛,让不同的各方可以通过这个论坛共同创 造和维护一个值得信赖的云生态系统。CSA 研究以独立于厂商的中立、灵活和结果的完 整为荣。 m o c . 5 感谢 ExtraHop 为研究的发展提供资金支持,并确保 CSA 研究生命周期内的质量控 制。 b u h t i g ExtraHop 是 CSA 企业会员,他们支持研究项目的研究成果,但对 CSA 研究的内容 开发或编辑权没有额外的影响。 ©2020 云安全联盟-版权所有 3 目录 鸣谢............................................................................................................................................ 5 序言............................................................................................................................................ 7 概要............................................................................................................................................ 8 1.安全问题:数据泄露............................................................................................................ 9 2.安全问题:配置错误和变更控制不足..............................................................................12 3.安全问题:缺乏云安全架构和策略..................................................................................15 4.安全问题:身份,凭据,访问和密钥管理的不足..........................................................18 m o c . 5 5.安全问题:账户劫持..........................................................................................................24 6.安全问题:内部威胁..........................................................................................................27 7.安全问题:不安全接口和 API...........................................................................................31 8.安全问题:控制面薄弱......................................................................................................34 b u 9.安全问题:元结构和应用结构失效..................................................................................37 10.安全问题:有限的云使用可见性....................................................................................42 h t i g 11.安全问题:滥用及违法使用云服务................................................................................46 结论..........................................................................................................................................49 附录:方法论..........................................................................................................................50 关于赞助者..............................................................................................................................51 ©2020 云安全联盟-版权所有 4 鸣谢 主席 Jon-Michael C. Brook 贡献者 Jon-Michael C. Brook Alexander Getsin Greg Jensen Laurie Jameson Michael Roza Neha Thethi Ashish Kurmi Shachaf Levy Shira Shamban Vic Hargrave Victor Chin Zoran Lalic Randall Brooks 云安全联盟全球成员 m o c . 5 b u h t i g Victor Chin Stephen Lumpe (Cover Art) AnnMarie Ulskey (Design) 修订记录 日期 批准 注解 2019 年 8 月 6 日 John Yeoh 原文刊载 2019 年 10 月 1 日 John Yeoh 勘误,略作调整 2020 年 2 月 4 日 John Yeoh 增加赞助商 2020 年 4 月 8 日 Frank Guanco ©2020 云安全联盟-版权所有 少量更新 5 中文版翻译说明 由云安全联盟大中华区(CSA GCR)秘书处组织翻译《云计算的 11 类顶级威胁》 (Top Threats to Cloud Computing The Egregious 11),云安全联盟大中华区专家翻译 并审校。 翻译审校工作专家:(按字母顺序排序) 组长:沈勇 组员:陈皓、伏伟任、高巍、江楠(腾讯云)、靳明星(易安联)、李岩、刘宇馨 m o c . 5 (奇安信)、欧建军、唐宇(龙湖集团)、王安宇(OPPO)、王贵宗、王永霞(腾讯云)、 杨喜龙、于乐、余晓光(华为)、张威 b u 在此感谢以上参与该文档的翻译审校工作的专家及工作人员。如译文有不妥当之处, 敬请读者联系 CSA GCR 秘书处给与雅正! 联系邮箱:
[email protected]; 云安全联盟 CSA 公众号: h t i g ©2020 云安全联盟-版权所有 6 序言 如今,越来越多的企业正在将数据和应用程序迁移到云中,这带来了独特的信息安 全挑战。而企业在使用云计算服务时将面临 11 个主要的云安全威胁。保护企业在云中 数据的主要责任并完全不在于服务提供商,而主要在于客户本身。为了使组织对云安全 问题有新的了解,以便他们可以就云采用策略做出有根据的决策,云安全联盟 CSA 发布 了新版本的《云计算的 11 类顶级威胁》,报告反映了 CSA 安全专家之间当前就云中重 要的安全问题达成的共识。尽管云中存在许多安全问题,但这个列表主要关注 11 个与 云计算的共享、按需特性相关的问题。本报告由 CSA 全球云威胁工作组专家们原创,大 m o c . 5 中华区云安全专家们翻译,相信与以前的各版本那样对近期开始云转型和已经采用云服 务的企业会有所帮助。 b u h t i g 李雨航 Yale Li CSA 大中华区主席兼研究院院长 ©2020 云安全联盟-版权所有 7 概要 “顶级威胁”报告一贯旨在提高对云平台威胁,风险和漏洞的认识。此类问题通 常由云计算按需和共享的天生特征导致。在第四部分中,我们再次就云行业安全问题与 241 位行业专家进行调查。今年,我们的受访者对其云环境中的 11 个主要威胁,风险 和漏洞进行了评估。最高威胁工作组结合调查结果及专业知识来撰写 2019 年最终报告 (“本报告”)。 最新报告按调查结果重要程度着重介绍了前 11 个威胁(括号中是以往的排名): m o c . 5 1.数据泄露(1) 2.配置错误和变更控制不足 3.缺乏云安全架构和策略 4.身份,凭证,访问和密钥管理不足 b u 5.帐户劫持(5) 6.内部威胁(6) h t i g 7.不安全的接口和 API(3) 8.控制平面薄弱 9.元结构和应用程序结构失效 10.有限的云使用可见性 11.滥用及违法使用云服务(1
CSA 云计算的11类顶级威胁
文档预览
中文文档
51 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共51页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-07-06 02:51:14上传分享