云环境下的金融服务现状 2023.pdf
《云环境下的金融服务现状 2023.pdf》由会员分享,可在线阅读,更多相关《云环境下的金融服务现状 2023.pdf(31页珍藏版)》请在咨信网上搜索。
1、 2023 云安全联盟大中华区版权所有1 2023 云安全联盟大中华区版权所有6序言序言云计算技术的快速发展,如云原生、无服务器等概念层出不穷,催生了很多新的云服务模式,也带来了诸多安全风险,对云计算安全的关注将成为持续的话题。同时,各行各业也开始大量采用云计算基础设施,构建基于云原生的服务。特别是金融行业,云优先(CloudFirst)和只有云(CloudOnly)已经成为企业构建新业务的策略。云计算业务日益增加的使用,与不断增加的监管要求和有限安全投入之间形成了客观上的冲突。对于企业的负责人而言,需要关注云安全新技术的发展,例如人工智能、量子计算和 DevSecOps;又要借鉴头部企业在云
2、化趋势下安全的最佳实践,包括人员、流程和技术层面所需要做的工作。本白皮书通过对金融行业企业的安全相关负责人调查,给出了近年来的云环境下金融服务现状和机遇,以及 CSA 后续的行动计划。相信读者会从中受到启发,更好地执行适合自身的云化策略和行动。李雨航 Yale LiCSA 大中华区主席兼研究院院长 2023 云安全联盟大中华区版权所有7前言前言云安全联盟(CSA)是一个非营利性组织,其宗旨在于广泛推广确保云计算和 IT 技术中的网络安全最佳实践。CSA 同时也向业界相关成员提供对其他各类网络安全问题的指导。CSA 的成员包括安全从业人员、安全厂商及其他专业团体。CSA 的主要目标之一是对信息安
3、全趋势进行调查与评估工作。这些调查向组织提供当前信息安全技术成熟度、意见、兴趣和趋势等各类信息。CSA 的金融服务社区的成员来自全球各类银行、金融科技公司、支付处理机构、金融咨询机构、保险公司、金融监管机构、数据保护机构和其他国家监管机构。随着金融业对云的使用持续增长,其所带来的挑战与关注度也在同步上升。过去几年中,CSA 为了更好地了解金融业对云计算技术的现状与挑战,从而进行了行业调研。今年研究的目标是为了更好地了解如下内容:从金融机构的角度分析云解决方案的采用水平和需求,与 2019-2020 年进行的调查进行比较。当前面临的挑战以及与云服务供应商的合作。识别在保护金融数据及相关资产安全的
4、云服务中创建指引的新机遇。2023 云安全联盟大中华区版权所有8目录目录致谢.4序言.6前言.7摘要.10调查方法.11调查结果.12日益增长的云服务使用情况.12金融服务多云化是当前现状.14零信任为金融云访问增加完整性.15加强云的数据管理能力.16业务连续性对云端业务至关重要.16满足云端监管要求.18数据隐私、主权和本地化.19监管机构对云服务审计实践的理解.20CSA 云控制矩阵建立统一的云安全方法.22通过云硬件安全模块和机密计算加强密钥管理.23技能缺口在云安全领域仍然存在.24金融服务和云领域的机遇.26与新技术和 CSP 功能保持同步.26为金融服务行业提供充分保障的云安全.
5、28人员:保持相关知识(例如特定平台培训、微培训).28流程:映射到 FSI 框架,验证到 STAR.29技术:云安全提供商借助安全技术的发展实现对金融服务业的有力支持.29 2023 云安全联盟大中华区版权所有9企业和云风险管理.30云环境中仍需要威胁情报和上下文信息.31CSA 金融服务计划.32教育.32研究.32行业简报.33保障框架和计划.33结论.34成员资料.35 2023 云安全联盟大中华区版权所有10摘要摘要近年来,金融服务业对云服务的使用大幅增长,预计其将伴随着使用和集成云服务提供商(CSP)所提供的功能进一步增长,以替代传统的银行业、商业和其他金融交易方式以及交换金融数据
6、的方法。本报告的目的是评估行业现状,并于与三年前行业初期 CSA 类似的调查结果进行比对,来证实金融服务业领导者正在进一步利用云服务来发现的当前问题和新的机遇。在与本报告相关的访谈中,金融科技公司的首席信息安全官(CISO)和云架构师表示,利用可扩展性和快速推向市场的能力,将创新引入市场比以往的做法更划算。此外,银行业专业人员表示,受新冠疫情的影响,利用云服务实现远程办公或快速的动态更新、部署新的软件服务的主要原因是其能够提供符合法规的一致部署协调的安全策略。本报告中的监管是最具影响力的因素之一。尽管将越来越多的云计算被用于托管受管控数据,但对于云服务提供商如何理解和确保其遵守各国法律仍是值得
7、深思的问题。然而,新的方案伴随着新的风险,受访者表示,尽管云服务的使用正在不断增加,但其进展需要与 CSP 和金融服务业展示其符合法规、整体数据保护的能力以及员工对管理工作的舒适程度保持相对一致。本报告中除了监管之外的主题还包含数据管理的重要性、访问的完整性、威胁情报和良好的企业风险管理。本报告中最明显的一点是云服务正在不断深入金融服务的各个方面并有望被长时间使用。云服务是否被采用已不在是问题,而更多问题是“如何”使用。如何采取云原生安全策略,如何应用零信任方法,如何指导员工、监管机构和云合作伙伴等所有相关合作方。2023 云安全联盟大中华区版权所有11本报告中与 CSA 共享的信息有助于明确
8、未来的研究内容、标准要求、培训和指导等该社区可能感兴趣的内容。在报告的最后,我们将分享一些建议,以供我们的金融服务业领导委员会考虑。调查方法调查方法本报告的调查方式是通过与 2020 年 金融服务部门云使用情况调查报告 的调查结果进行对比,来确认金融服务业对云服务的使用和准备情况。许多问题与最初由 CSA 金融服务工作组最初的问题相同,以进行公正的对标。同时,还包括了其他一些问题,以便更好地了解对云控制矩阵和 STAR 计划的现状,以及由金融服务业领导工作组、CSA 分析师和其他行业专家的问题。此外,我们还对首席信息安全官、首席风险官、金融服务内部云架构和数据治理的其他负责人进行了多次采访。2
9、023 云安全联盟大中华区版权所有12调查结果调查结果日益增长的云服务使用情况日益增长的云服务使用情况自新冠疫情以来,金融服务业使用云服务的情况不断增长,几乎所有金融机构都在使用某类云计算服务。98%的受访者的受访者表示他们公司正在使用云计算服务,高于 2020 年的年的 91%。许多受访者讨论了增长的原因,其中一部分是疫情导致新工作场景带来新的发展需求,以适应远程办公和客户对其账户的远程访问。目前,业界对于在业务关键中使用云计算工作负载的把握已有显著增加。2020 年的调查结果显示,当被问及在生产中的“关键业务”工作负载占比时,约 66%的服务提供商表示没有关键业务(20%)或关键业务占比小
10、于十分之一(46%)。这些数字在 2023 年的调查结果中有了显著下降(43%),拥有高占比关键业务工作负载的公司数量几乎翻了一倍,从 17%增加到 32%。我们之前的调查相比,在公共云中使用受监管的工作负载的情况增加了,84%的受访者表示他们的一些受监管数据存储在公共云中,前期调查比例为 73%。同时,许多金融服务机构采取了私有云和公共云混用的方式,并继续进行内部部署操作。然而,也有公司认识到许多服务提供商已经将软件服务迁移到云上,这也影响了云的更广泛使用。尽管如此,仅有 28%的受访者表 2023 云安全联盟大中华区版权所有13示他们的大部分(50%及以上的工作负载)受监管数据存储在公共云
11、中,这与 2020 年的 24%相比略有增加。有趣的是,在被问及是什么阻碍公司进一步采用敏感工作负载时,给出的第一个“阻碍因子”几乎都是“难度增加”。在监管和合规功能,尤其是隐私方面,仍是除了技术人员配备外最大的挑战。2023 云安全联盟大中华区版权所有14金融服务多云化是当前现状金融服务多云化是当前现状依赖单一的云服务提供商,还是同时注册使用多家云服务,是困扰企业的一个普遍问题。对企业多云使用的目的表明,许多企业已经认识到云提供商多样化的好处,例如可以降低供应商锁定的风险,确保云环境更具有灵活性和弹性。通过使用多家云服务,企业还可以利用每个供应商的独特功能和最佳功能,避免被某一单一供应商绑定
12、,从而优化其云战略,最大限度地提高投资价值。调查显示,57%的企业目前使用多家云服务来满足其 IaaS/PaaS 需求。尽管政府监管机构要求支持多云服务使用以提高企业业务弹性,但受访的企业首席信息安全官们提到了当前多云发展方面所面临的挑战。主要使用单一云服务商来提供 IaaS/PaaS 的受访者人数略有增加,这也从侧面印证了首席信息安全官们的观点。第三方云服务之间的信息互通可操作性、信息可移植性、可视性、数据管理、安全策略等方面的复杂性导致了使用多云环境的困难。随着跨云堆栈的第三方管理对于多云部署变得越来越重要,可见性仍然是一个令人担忧的问题。与上一份报告中的可见性对比显示,认为其对云堆栈不可
13、见的受访者数量意外增加,尤其是对IaaS和PaaS云堆栈。总体而言,受访者对 SaaS 和 PaaS 的可见性从 2023 云安全联盟大中华区版权所有15良好到优秀有所增加,但对 IaaS 环境的可见性却有所下降。对企业信息安全负责人的访谈的进一步评估显示,这不仅仅是可见性的问题,而是在跨云环境中缺乏通知和变更上下文信息,或者未披露。这为主要的 IaaS 提供商在操作和活动级别添加额外的可见性、控制和上下文层面留有余地。云原生应用保护平台(CNAPP)和变更通知标准等解决方案的改进将在这方面发挥主导作用。这种可见性的缺乏可能导致未知的安全和合规风险,例如无保障、无法证明行规符合状态等。企业应该
14、考虑实施健全的 SaaS 管理策略,以获得更好的可见性和对云环境的控制。零信任为金融云访问增加完整性零信任为金融云访问增加完整性金融组织对查看或操作财务记录的权限的完整性有多种期望。有几个因素促成了这一点,包括上述提到的数据管理方面,以保持机密性,以及防止由于对数据的完整性保护不当而导致的数据丢失或损坏,如洗钱或盗窃。这也是调查中指出零信任是当前首要任务的一个可能原因。零信任方法要求对敏感数据和资产的访问进行持续验证,同时最大限度地降低信息泄漏的影响。在云环境中,应定期测试所有第三方访问的继承安全控制,以验证权限是否仍然相关。这种方法有可能实现保护金融资产的业务和技术目标,同时证明符合各种行业
15、规定。2023 云安全联盟大中华区版权所有16加强云的数据管理能力加强云的数据管理能力对于金融服务业来说,数据的机密性以及了解数据的流向和路由方式至关重要。数据在存储、传输和使用过程中都必须受到保护,以便确认公司货币会计的合法性,并保护在该企业托管资金的所有消费者。此外,还需要数据的可追溯性和清晰的审计跟踪,随时了解数据的移动和保护情况。几位受访者表示,在云端记录财务数据的可扩展性优于许多本地部署方法,这为向云端迁移提供了保障,但必须保持数据可靠性和一致性。然而,受访者对数据暴露表示担忧,这也导致对敏感数据迁移至公有云保持谨慎态度。通过使用零信任成熟度模型(例如 CISA 零信任成熟度模型 v
16、2)来衡量云端的数据管理安全性,同时应用共享安全责任模型(SSRM)和专门针对云的控制措施(例如 CSA 云控制矩阵(CCM)帮助建立与数据外泄、机密性和配置错误相关的透明性要求。业业务务连连续续性性对对云云端端业业务务至至关关重重要要可用性对于保持业务连续性和确保机构平稳运行至关重要。美国财政部在近期报告中强调了金融机构的弹性和多云化支持的能力。欧盟(EU)在欧洲网络安全法案(EU-CSA)和欧盟网络与信息安全指令(NIS2 指令)2022/2555 中考虑到了网络弹性问题。云计算通过将关键数据和应用程序安全地存储在第三方服务和基础设施中,以降低数据丢失和现场基础设施故障的风险,从而确保金融
17、服务的业务连续性。同时,这些服务的设计必须始终符合不断变化的金融服务业安全标准和要求。金融监管机构、审计员和检查员一直在问类似于 如果 云服务提供商完全瘫痪怎么办?”这样的问题。这凸显 2023 云安全联盟大中华区版权所有17了制定包括备份和灾难恢复解决方案在内的强大多云管理策略的必要性。但是,这可能需要付出云端的效率和运营成本。有趣的是,报告显示,与 2020 年调查的受访者相比,当前服务提供商的备份计划准备程度略有下降。与首席信息安全官们探讨后发现(CISO)云端数据迁入和迁出成本存在不均衡性。将数据迁出的成本远远超过向公有云环境迁移数据的成本。分布式拒绝服务(DDoS)和勒索软件等攻击的
18、增加进一步加剧了对可用性的担忧,尤其是在金融服务业。根据 Cloudflare 的数据,在 2022 年 6 月的 DDoS 攻击中,金融服务占 45%。Verizon 数据泄露调查报告(DBIR)连续将金融服务列为受数据泄露影响最严重的行业。CSA 早期的调查报告显示,DDoS 和勒索软件是与数据泄露、系统访问权限丢失、系统破坏、持续对抗性访问、帐户劫持和欺诈相关的最主要的安全关注点。DDoS和勒索软件能够封锁组织的关键数据,使运营陷入停滞,因此它们在最新的 CSA 云计算 11 大顶级威胁 报告中被着重提及就不足为奇了。此类攻击会严重扰乱运营并导致声誉受损,因此金融服务机构必须制定有效的业
19、务连续性计划(BCP)和事件响应计划(IRP)战略。企业组织需要投入强健的网络空间安全措施,定期测试其备份和恢复计划,降低宕机风险,确保系统始终可用。通过部署主动的安全防御措施并进行持续的改进,金融服务业可以自信地驾驭云环境,保护其关键数据和运营。2023 云安全联盟大中华区版权所有18满足云端监管要求满足云端监管要求金融服务机构在其运营或开展国际业务的所有司法管辖区都受到当地法律和联邦法律的监管。近年来,调查受访者指出,监管机构对第三方(尤其是云服务提供商)的审查力度加大,要求其提供文件并证明其符合各种标准框架,称监管机构对第三方的关注能够影响安全性。受访者提到,备受瞩目的金融数据泄露事件和
20、新法规的出台是引起这种关注的催化剂。尽管如此,大多数金融服务机构在合规数据方面仍然使用云计算,其中有 59%的受访者表示其在云服务中存储或处理受监管的银行信息,只有 25%的受访者表示未来没有这样的计划。参与调查的全球代表来自亚太地区(20%的受访者)、欧洲、中东和非洲地区(28%的受访者)以及美洲地区(52%的受访者),这表明全世界都在关注如何解决云环境中的监管问题。虽然大多数金融服务机构都在广泛部署云服务,但只有 28%的受访者表示他们将大部分受监管的工作负载部署在公有云上在访谈中,受访者认为云服务提供商缺乏透明度、无法向审计人员证明合规性或担心没有足够的 2023 云安全联盟大中华区版权
21、所有19网络安全资源进行从容的管理是不打算进一步在公有云上处理受监管数据的主要原因。在云中拥有大部分关键业务工作负载(50%或以上)的企业数量在短短三年内几乎翻了一番。87%的金融组织已将其关键业务工作负载转移到云中。另有 15%(从 17%增长到 32%)的企业正在将一半以上的关键业务工作负载转移到云中。此外,预计在未来 12 个月内 72%的企业会将受监管的银行数据转移或存储在云端。(较 2020 年的 63%有所增加),该报告显示未来金融服务业对云的信任和依赖程度有所提高。数据隐私、主权和本地化数据隐私、主权和本地化近年来,世界各国政府已经建立或考虑了有关数据主权和数据本地化的立法,这些
22、立法可能会限制金融服务实体可能拥有的个人金融或其他个人数据的传输。这些法规可能会影响金融服务机构及其客户。此外,这可能会影响在这些国家托管或开展业务的云服务提供商。某些数据本地化法律要求首先将收集的个人信息存储在国内,然后再进行跨境传输。而其他法规可能更为严格,防止外国系统存储与该国公民相关的任何数据。在访谈中,首席信息安全官们建议内部法律顾问定期监控这些特定的变化,风险专业人员则要制定计划,对可能需要进行的调整保持警惕,以证明遵守了相关规定。本报告的一些受访者表示,法律复杂程度越来越高,金融服务机构和云服务提供商越来越难搞明白,致使他们对进一步采用云服务犹豫不决。其中一些普遍引用的例子包括欧
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 云环境下的金融服务现状 2023 环境 金融 服务 现状
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Stan****Shan】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Stan****Shan】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。