云計(jì)算安全現(xiàn)狀報(bào)告

1、云計(jì)算安全現(xiàn)狀報(bào)告 云安全現(xiàn)狀報(bào)告 2018 云安全聯(lián)盟版權(quán)所有前言云安全聯(lián)盟全球企業(yè)顧問委員會(huì)成立于2016年，是由十多位行業(yè)的大型跨國公司的頂尖專家組成的代表團(tuán)隊(duì)。該委員會(huì)的成立是為了表達(dá)大型IT終端用戶的觀點(diǎn)， 并融合云計(jì)算使用者信息安全相關(guān)的觀點(diǎn)。全球企業(yè)顧問委員會(huì)的目標(biāo)是在云技術(shù)方面增加企業(yè)間的協(xié)作，使企業(yè)能夠采用安全的實(shí)踐和技術(shù)。這些工作旨在促進(jìn)云服務(wù)提供商滿足用戶對于安全性與隱私的需求，并幫助監(jiān)管機(jī)構(gòu)不斷加強(qiáng)和改進(jìn)法規(guī)來跟上不斷變化的云計(jì)算新技術(shù)和新特性。該委員會(huì)發(fā)布的報(bào)告旨在通過系列的活動(dòng)，提高對云計(jì)算安全的認(rèn)識(shí)以及企業(yè)與云服務(wù)提供商相互協(xié)作重要性的認(rèn)識(shí)。IT系統(tǒng)的質(zhì)量和自身的

2、安全能力取決于成熟的大型企業(yè)使用者的需求以及他們對行業(yè)發(fā)展的期待。我們希望您從這份報(bào)告中重點(diǎn)了解到的是，云安全是一項(xiàng)需要不斷進(jìn)行的工作，云計(jì)算用戶社區(qū)有責(zé)任相互協(xié)作和擴(kuò)大聲音，以確保他們的關(guān)鍵安全問題得到傾聽和解決。云安全現(xiàn)狀報(bào)告 2018 云安全聯(lián)盟版權(quán)所有目錄前言目錄簡介云與相關(guān)技術(shù)的運(yùn)用云服務(wù)提供商在安全方面做了什么？ 企業(yè)在安全發(fā)面做了什么？威脅態(tài)勢正在演變和監(jiān)管者的合作 行業(yè)技能差距摘要關(guān)于云安全聯(lián)盟（CSA）云安全現(xiàn)狀報(bào)告 2018 云安全聯(lián)盟版權(quán)所有簡介多年來，創(chuàng)新者和早期采用者一直在利用云計(jì)算技術(shù)的更快的部署過程、更好的擴(kuò)展性和節(jié)省服務(wù)成本的優(yōu)勢。云計(jì)算的發(fā)展將繼續(xù)加速更多的解

3、決方案的產(chǎn)生， 包括安全性和附加的特性。在信息數(shù)字化和創(chuàng)新的時(shí)代，企業(yè)用戶必須跟上時(shí)代的步伐，才能滿足基線能力和安全要求。本文提供了一些最新的企業(yè)信息安全從業(yè)人員必須知曉的云實(shí)踐和技術(shù)，因?yàn)镮T和敏感數(shù)據(jù)的延伸已經(jīng)超出傳統(tǒng)的企業(yè)邊界。供應(yīng)商、監(jiān)管機(jī)構(gòu)和企業(yè)必須合作， 才能建立跨服務(wù)的基準(zhǔn)安全要求。了解云和相關(guān)技術(shù)的使用以及數(shù)據(jù)安全和所有權(quán)的作用和責(zé)任，將有助于提高這些服務(wù)的采購和長期管理。云與相關(guān)技術(shù)的運(yùn)用面對當(dāng)今云服務(wù)的廣度、范圍和豐富性，企業(yè)往往不知所措?；A(chǔ)設(shè)施即服務(wù)(IaaS)領(lǐng)域由三大供應(yīng)商主導(dǎo)，他們的服務(wù)常常與平臺(tái)即服務(wù)(PaaS)產(chǎn)品重疊。新的能力進(jìn)一步解耦硬件和軟件能力?！盁o服

4、務(wù)器”和“功能即服務(wù)”的產(chǎn)品允許用戶構(gòu)建他們的應(yīng)用程序的時(shí)候完全依賴于供應(yīng)商來管理和提供服務(wù)器計(jì)算資源的分配。此外，軟件即服務(wù)(SaaS)市場在不斷延伸，提供了新的產(chǎn)品來幫助解決數(shù)據(jù)、安全、網(wǎng)絡(luò)和身份方面的問題。此外，云訪問安全代理(CASB)、軟件定義邊界(SDP) 和安全托管服務(wù) (MSS)等服務(wù)在試圖超越傳統(tǒng)的企業(yè)邊界進(jìn)行管理時(shí)，造成新的操作復(fù)雜性。云安全現(xiàn)狀報(bào)告 2018 云安全聯(lián)盟版權(quán)所有由于過去兩年IT安全預(yù)算有所增加1，而且項(xiàng)目在未來五年內(nèi)持續(xù)增長，因此需要在企業(yè)用戶中進(jìn)行研究和分享這些服務(wù)，以便了解其功能以及如何安全地實(shí)施。 許多云服務(wù)包含平臺(tái)原生安全控制，通過添加傳統(tǒng)環(huán)境中不

5、能滿足的安全控制措施，消除傳統(tǒng)安全服務(wù)中的冗余控制和重疊，幫助公司改進(jìn)其安全狀態(tài)。提前規(guī)劃研究、測試、實(shí)施和培訓(xùn)用戶使用這些原生安全控制是絕對必要的，以最大限度地提升安全收益。云服務(wù)正在以許多創(chuàng)新的方式被運(yùn)用。消費(fèi)者和企業(yè)都在利用云在新興技術(shù)方面的優(yōu)勢。 物聯(lián)網(wǎng)（IoT）設(shè)備擴(kuò)展了計(jì)算的邊界，允許實(shí)地收集和分析數(shù)據(jù)。人工智能（AI）為數(shù)據(jù)提供更多的機(jī)器學(xué)習(xí)功能的分析和應(yīng)用。區(qū)塊鏈技術(shù)應(yīng)用使信息和交易所有權(quán)透明且安全。應(yīng)用程序容器和微服務(wù)引入了在工程實(shí)踐中安全、敏捷開發(fā)和通信的架構(gòu)。云已經(jīng)打開了（以上這些及其它）相關(guān)技術(shù)的大門。探索實(shí)際案例和潛在案例對于跟上市場應(yīng)用的步伐、建設(shè)安全的行業(yè)最佳實(shí)踐

6、非常重要。為新興技術(shù)建立小型項(xiàng)目可確保大家熟悉新技術(shù)，以及如何與現(xiàn)有IT基礎(chǔ)架構(gòu)和工具進(jìn)行集成。與行業(yè)合作伙伴共享成功和挑戰(zhàn)，可以讓采用者在每個(gè)項(xiàng)目中構(gòu)建功能和安全的模式，從而擴(kuò)展到更大的工作負(fù)載以及整個(gè)行業(yè)。行業(yè)合作伙伴和提供商的合作將確保云供應(yīng)鏈中的所有合作伙伴滿足基準(zhǔn)安全要求。 HYPERLINK /newsroom/id/3836563 /newsroom/id/3836563云安全現(xiàn)狀報(bào)告 2018 云安全聯(lián)盟版權(quán)所有云服務(wù)提供商在安全方面做了什么？隨著用戶對云提供商安全的信任，用戶采用了越來越多的云服務(wù)。由于云提供商在云平臺(tái)安全方面的投資，McAfee的一份調(diào)查顯示，用戶對公有云服

7、務(wù)完全信任的比例在2017年增加了76%2。但是信任應(yīng)該基于證據(jù)。云提供商正在通過自評估及第三方工具，比如CSA STAR項(xiàng)目3、 ISO 27000-series認(rèn)證4、以及 FedRAMP認(rèn)證項(xiàng)目5等方式證明云中的安全。這些平臺(tái)針對云安全特有風(fēng)險(xiǎn)的安全控制與對策。通過審查通用安全控制集可以對云提供商的通用安全水準(zhǔn)進(jìn)行持續(xù)評估。云提供商的安全水平還與他們快速檢測、遏制、減輕攻擊的能力相關(guān)。云提供商通過參與網(wǎng)絡(luò)安全信息共享來重點(diǎn)提升威脅應(yīng)對的能力。這些威脅情報(bào)交換機(jī)制使得從最小到最大的云提供商之間共享情報(bào)更為容易。從最小云提供商共享的威脅行為者情報(bào)，可以防止對于大云提供商的破壞。這些實(shí)踐已經(jīng)標(biāo)

8、準(zhǔn)化并對包括企業(yè)在內(nèi)的更大型團(tuán)體開放。鑒于對手迅速協(xié)同實(shí)施攻擊，信息安全團(tuán)體需要迅速反應(yīng)， 協(xié)同在云提供商、企業(yè)及用戶之間跨行業(yè)交換威脅情報(bào)。這可以幫助大家維護(hù)標(biāo)準(zhǔn)的安全解決方案。Building Trust in a Cloudy Sky: The state of cloud adoption and security HYPERLINK /us/solutions/lp/cloud-security-report.html /us/solutions/lp/cloud-security-report.html HYPERLINK /star /star HYPERLINK /html/2

9、7017.html /html/27017.html隨著威脅態(tài)勢的演進(jìn)，云服務(wù)提供商持續(xù)性的在其平臺(tái)上添加新的特性功能來解決最新安全隱患。安全以及配置的功能以較快的速度引入平臺(tái)，但需要最終用戶進(jìn)行良好的溝通。僅僅是培訓(xùn)視頻和操作手冊還不夠，因?yàn)槠髽I(yè)正在使用多個(gè)云服務(wù)而且在快速變化。為了幫助企業(yè)應(yīng)對技術(shù)的擴(kuò)展特性，我們的目標(biāo)是實(shí)現(xiàn)更為安全穩(wěn)定的默認(rèn)配置，并確保正確運(yùn)用新的特性。任何一次服務(wù)事故，即使是由于用戶錯(cuò)誤造成的，也會(huì)對客戶信任度和產(chǎn)品可靠程度產(chǎn)生負(fù)面的影響。用戶的操作以及行為是和功能本身一樣重要需要關(guān)注的。 HYPERLINK / /云安全現(xiàn)狀報(bào)告 2018 云安全聯(lián)盟版權(quán)所有企業(yè)在安全

10、方面做了什么？云技術(shù)的采用以及將系統(tǒng)遷移上云對安全提出了不同的挑戰(zhàn)。采用云服務(wù)仍然需要新的云服務(wù)提供商滿足企業(yè)的合規(guī)要求。共享責(zé)任模型描述了云提供商/或企業(yè)安全控制的歸屬權(quán)。滿足這些安全的要求有助于促進(jìn)企業(yè)的合規(guī)情況。這種類型的共享安全模型正在鼓勵(lì)企業(yè)將更多的關(guān)鍵業(yè)務(wù)系統(tǒng)，例如企業(yè)資源計(jì)劃系統(tǒng)（ERP） 轉(zhuǎn)移到云上。許多企業(yè)為了云的強(qiáng)大的能力而轉(zhuǎn)向云，其中包括安全性。為了最大程度地利用云的安全能力，企業(yè)仍然需要對業(yè)務(wù)系統(tǒng)進(jìn)行調(diào)整和改進(jìn)。企業(yè)為內(nèi)網(wǎng)工作流程維護(hù)的安全模式不能簡單應(yīng)用于云。遷移工作涉及了解如何為云服務(wù)體系正確的重構(gòu)業(yè)務(wù)系統(tǒng)，這是利用云安全特性以及平臺(tái)原生安全工具的關(guān)鍵。針對云的特性

11、和本質(zhì)，開發(fā)和部署的生命周期應(yīng)當(dāng)注重使用微服務(wù)、應(yīng)用程序容器和不可變架構(gòu)， 并采用Dev(Sec)Ops方法。自動(dòng)化的使用將增加我們構(gòu)建項(xiàng)目的能力以及在開發(fā)過程中的安全能力。這些工具集中在云管理面板上，可以幫助企業(yè)通過保護(hù)API和云平臺(tái)的原生安全性來限制被攻擊的范圍。盡管在云上構(gòu)建新應(yīng)用程序以及利用云原生工具更加簡單，但是將原來內(nèi)部業(yè)務(wù)系統(tǒng)遷移上云可能會(huì)更加復(fù)雜，需要將項(xiàng)目進(jìn)行分解，并使用多個(gè)云服務(wù)來獲得需要的安全性和可靠性。威脅情報(bào)的共享不應(yīng)只局限于云服務(wù)提供商之間。隱蔽式攻擊也好，目標(biāo)行為攻擊也罷，企業(yè)內(nèi)的(數(shù)據(jù))傳輸均是這些攻擊行為的目標(biāo)。應(yīng)當(dāng)在企業(yè)和云服務(wù)提供商生態(tài)系統(tǒng)內(nèi)共享這些常見的

12、威脅行動(dòng)和線索，便于發(fā)現(xiàn)攻擊源和制定對應(yīng)的風(fēng)險(xiǎn)緩解技術(shù)。其中，非常重要的是：針對共享的內(nèi)容、如何共享以及與誰共享來共同努力并制定標(biāo)準(zhǔn)化的方法6，以便有效地關(guān)聯(lián)并緩解威脅。在目標(biāo)明確的情況下，進(jìn)行共享事件、理解程序和部署策略的協(xié)作，信息共享將得到最佳效果。GDPR的準(zhǔn)備和意識(shí)調(diào)查報(bào)告 /download/gdpr-preparation-and-awareness-survey-report企業(yè)需要了解和評估：所有同云服務(wù)的遷移，配置和采納有關(guān)的風(fēng)險(xiǎn)因素。建議采用分階段的方式遷移敏感數(shù)據(jù)和關(guān)鍵應(yīng)用程序。在正確實(shí)施的情況下，云可以使數(shù)據(jù)規(guī)范化、可視化、規(guī)?；刈詣?dòng)添加到以往的手動(dòng)過程中。針對企業(yè)所

13、使用的云服務(wù)來開展適當(dāng)?shù)呐嘤?xùn)和教育，將有助于企業(yè)企業(yè)正確構(gòu)建云端架構(gòu)，并充分利用好那些云原生工具和安全性所帶來的優(yōu)勢。在做好這一切時(shí)，云中的關(guān)鍵數(shù)據(jù)就會(huì)受到云服務(wù)提供商和企業(yè)安全控制措施的雙重保護(hù)。威脅態(tài)勢正在演變針對信息系統(tǒng)的攻擊和破壞已然成為每日的頭條。企業(yè)希望與時(shí)俱進(jìn)能夠防御新型威脅、風(fēng)險(xiǎn)和漏洞。諸如WannaCry之類的勒索軟件在2017年影響了超過250,000臺(tái)計(jì)算機(jī)系統(tǒng)。另外，Bad Rabbit、Petya和Not Petya在2017年也如同暴風(fēng)般席卷了行業(yè)。以動(dòng)態(tài)DNS為例的分布式拒絕服務(wù)（DDoS）攻擊影響了超過70個(gè)主要在線服務(wù)。 在2016年，諸如Mirai 、bot

14、net之類的有害軟件正通過利用不正確的安全實(shí)踐對信用卡網(wǎng)站發(fā)起多次的分布式拒絕服務(wù)（DDoS）攻擊。錯(cuò)誤配置的云服務(wù)用法，比如數(shù)據(jù)分析公司Alteryx7因亞馬遜AWS S3 存儲(chǔ)配置錯(cuò)誤，導(dǎo)致1.23億美國人的信息泄露，而Verizon的事故則影響了600百萬個(gè)人用戶。8 “熔斷與幽靈”，這兩個(gè)CPU處理器漏洞，正在影響幾乎所有的現(xiàn)代處理器，使其泄露數(shù)據(jù)和密碼。企業(yè)需要對他們的員工進(jìn)行基礎(chǔ)安全實(shí)踐方面的培訓(xùn)。防止“釣魚攻擊”和恰當(dāng)?shù)拿艽a管理策略能夠預(yù)防許多包括勒索軟件和分布式拒絕服務(wù)攻擊在內(nèi)的有害攻擊行為。針對安全補(bǔ)丁和CVE的快速響應(yīng)和實(shí)施這一響應(yīng)機(jī)制需要進(jìn)行進(jìn)一步的調(diào)優(yōu)以防范以上這類有害

15、軟件。在補(bǔ)丁機(jī)制響應(yīng)時(shí)間和（信息）協(xié)調(diào)披露方面，云服務(wù)提供商也需要對他們的客戶保持透明。企業(yè)需要意識(shí)到并且知道這些最新型的威脅是如何來影響企業(yè)的業(yè)務(wù)，并且做好風(fēng)險(xiǎn)緩解計(jì)劃并確保相應(yīng)的技術(shù)落實(shí)到位。在行業(yè)內(nèi)分享共享情報(bào)是一種方式，同時(shí)還可通過參考報(bào)告和最佳安全實(shí)踐范例，諸如CSA的“十大威脅報(bào)告”，Verizon的數(shù)據(jù)泄露調(diào)查報(bào)告， 和OWASP的十大報(bào)告幫助企業(yè)構(gòu)建預(yù)防、偵測與糾正緩解機(jī)制。 HYPERLINK /security/cloud-data-leak-exposes-information-on-123-million-americans /security/cloud-data-

16、leak-exposes-information-on-123-million-americans HYPERLINK /security/verizon-won-t-be-the-last-to-leave-data-exposed-in-the-cloud /security/verizon-won-t-be-the-last-to-leave-data-exposed-in-the-cloud云安全現(xiàn)狀報(bào)告 2018 云安全聯(lián)盟版權(quán)所有與監(jiān)管者的合作企業(yè)在合規(guī)時(shí)重要的是履行強(qiáng)健的安全原則來實(shí)現(xiàn)合規(guī)，而不是使用合規(guī)來驅(qū)動(dòng)安全要求。安全控制需要具有擴(kuò)展性，才能靈活地包含新技術(shù)實(shí)踐以及同時(shí)滿足

17、監(jiān)管的安全要求?？蛻魧τ陔[私的保護(hù)意識(shí)也在不斷提升。任何持有客戶數(shù)據(jù)的組織必須考慮提高其隱私政策的等級，尤其是面對歐盟公民的數(shù)據(jù)時(shí)，需要根據(jù)新的歐洲通用數(shù)據(jù)保護(hù)條例（簡稱GDPR）。每個(gè)在供應(yīng)鏈中負(fù)責(zé)控制或處理這些數(shù)據(jù)的合作伙伴必須遵守GDPR的隱私要求。隱私的體系結(jié)構(gòu)、技術(shù)的解決方案以及實(shí)踐均需要切實(shí)執(zhí)行，確保供應(yīng)鏈中的各方都滿足預(yù)期。監(jiān)管機(jī)構(gòu)和執(zhí)行這些新規(guī)則的人員需要提供清晰的解釋和指導(dǎo)，以便負(fù)責(zé)隱私的人員能夠正確應(yīng)用規(guī)則和保護(hù)客戶數(shù)據(jù)。企業(yè)、監(jiān)管者和云服務(wù)提供商三方在新技術(shù)和提供商能力的教育和培訓(xùn)方面應(yīng)達(dá)成合作關(guān)系。法規(guī)可以隨著云技術(shù)等安全技術(shù)的應(yīng)用而發(fā)展，為所有人提供更好的安全和隱私保

18、護(hù)。行業(yè)組織可以在向監(jiān)管機(jī)構(gòu)提供推動(dòng)安全性并滿足合規(guī)的要求的云解決方案和技術(shù)的教育時(shí)提供支持。云安全現(xiàn)狀報(bào)告 2018 云安全聯(lián)盟版權(quán)所有行業(yè)技能差距據(jù)研究表明，至少存在100萬個(gè)網(wǎng)絡(luò)安全工作崗位的空缺。根據(jù)美國網(wǎng)絡(luò)安全市場研究公司Cybersecurity Ventures發(fā)布的2017年度網(wǎng)絡(luò)犯罪報(bào)告, 這個(gè)缺口到2021年會(huì)擴(kuò)大到三倍。造成這種差距的主要原因是缺乏合格的申請者。因?yàn)樵萍夹g(shù)引導(dǎo)的加速變化改變了周邊的安全行業(yè)，所以信息安全從業(yè)人士在保持技能水平方面面臨極大挑戰(zhàn)。正確地使用新技術(shù)和現(xiàn)有解決方案可以很好地幫助今天的安全從業(yè)者。我們的安全教育生態(tài)體系需要極大擴(kuò)張，這將給當(dāng)今安全行業(yè)專業(yè)人員增加很多機(jī)會(huì)。我們需要集中精力在信息安全領(lǐng)域培養(yǎng)更多合格的專業(yè)人員，同時(shí)提升現(xiàn)有的專業(yè)人士的技能，尤其是與云計(jì)算技術(shù)相關(guān)的技能。 HYPERLINK /jobs /jobs概要科技發(fā)展的速度已遠(yuǎn)遠(yuǎn)超越了企業(yè)對于新技術(shù)的應(yīng)用速度。為了保證競爭優(yōu)勢，如何