2022年云安全风险、合规性和配置不当报告.pdf
《2022年云安全风险、合规性和配置不当报告.pdf》由会员分享,可在线阅读,更多相关《2022年云安全风险、合规性和配置不当报告.pdf(24页珍藏版)》请在咨信网上搜索。
1、 2022 云安全联盟大中华区版权所有1 2022 云安全联盟大中华区版权所有3致致谢谢本文档 云安全风险、合规性和配置不当报告(The State of Cloud Security Risk,Compliance,and Misconfigurations)由 CSA 工作组专家编写,CSA 大中华区秘书处组织翻译并审校。中中文文版版翻翻译译专专家家(排排名名不不分分先先后后)组组 长长:李岩翻翻译译组组:林艺芳 沈勇 欧建军 吴贺 江澎 王彪 杨喜龙 伏伟任 江楠 王永霞 杨天识审审校校组组:李岩 郭鹏程 姚 凯感感谢谢以以下下单单位位对对本本文文档档的的支支持持与与贡贡献献:启明星辰信
2、息技术集团股份有限公司北京天融信网络安全技术有限公司北京北森云计算股份有限公司腾讯云计算(北京)有限责任公司上海缔安科技股份有限公司英英文文版版本本编编写写专专家家主要作者:HillaryBaron贡献者:Josh BukerSean HeideAlexKaluzaShamun MahmudJohnYeoh设计者:Stephen LumpeAnnMarie Ulskey特别感谢::Nikhil GirdharProduct Marketing LeaderCloudHealth by VMwareLauren van der Vaart Senior Content Marketing Spe
3、cialistMulti-Cloud,VMware在此感谢以上专家。如译文有不妥当之处,敬请读者联系CSA GCR秘书处给与雅正!联系邮箱:researchc-;国际云安全联盟CSA公众号。2022 云安全联盟大中华区版权所有4目目录录致谢.31.调研的开展和方法论.61.1研究目的.62.概要.7关键发现 1.7关键发现 2.8关键发现 3.9安全部门仍然在努力对齐安全方针及(或)方针落地.9部门间在安全方针和执行方面的一致性对主动安全至关重要.103.云安全程序的当前状态.113.1使用共有云提供商.113.2公有云的年度预算.113.3对抗云安全漏洞的总体信心水平.123.4对防御云漏洞
4、威胁的能力充满信心.123.5 解决安全问题的障碍.133.6安全方针制订与落地执行的跨部门协作.133.7度量安全性和合规性状况.144.正在使用的云安全工具.144.1用于云安全的解决方案.144.2对云服务提供商安全解决方案的满意度.154.3使用托管服务提供商.155.云安全状态管理.155.1识别配置不当.155.1.1负责检测、跟踪和报告配置不当的团队.155.1.2云配置不当的原因.165.1.3检测到配置不当的流水线交付阶段.175.2 因配置不当造成的破坏和事件.18 2022 云安全联盟大中华区版权所有55.2.1设计用于管理云配置不当的安全性和合规性标准.185.2.2防
5、止或修复云配置不当的障碍.185.3治理与合规.195.3.1设计用于管理云配置不当的安全性和合规性标准.195.3.2跨团队和组织执行标准.195.3.3平衡安全性与项目交付.205.4解决配置不当的解决方案.205.4.1负责纠正配置不当的小组.205.4.2修复配置不当的流水线过程阶段.215.4.3修复配置不当的时间.215.4.4改进解决安全性或合规性配置不当的方法组织中最常见的方法.225.4.5使用自动修复的障碍.226.人口统计资料.236.1组织行业.236.2组织规模.236.3工作等级.236.4组织公有云支出.246.5公司部门主要工作.24 2022 云安全联盟大中华
6、区版权所有61.调调研研的的开开展展和和方方法法论论云安全联盟(CSA)是一个非营利组织,其使命是广泛推广最佳实践,确保云计算和IT技术中的网络安全。CSA还负责教育这些行业内的各种利益相关者(涉及所有其他形式计算中的安全问题)。CSA的成员是由从业者、公司和专业协会组成的广泛联盟。CSA的主要目标之一是开展调研评估信息安全趋势。这些调研有助于衡量信息安全技术在行业内各方面的成熟度,以及安全最佳实践的采用率。VMware的CloudHealth为了增加业界对公有云安全的了解,委托CSA开展一项调查并编写这份调查结果报告。CloudHealth为该项目提供资金,并与CSA一起参与制定针对云安全的
7、调查问题,从而共同制定了该倡议。该调查由CSA于2021年5月至2021年6月在线进行,收到1090份来自不同组织规模和地点的IT和安全专业人士的答复。数据分析由CSA的研究团队进行。1.1研研究究目目的的本调研的目的是评估组织在降低配置不当导致的公有云安全和合规风险方面的准备度。主要研究课题包括:云安全计划的现状,包括最主要风险和安全工具的使用情况。组织在缓解配置不当导致的漏洞方面面临的云安全态势管理(CSPM)挑战。组织准备情况、成功关键绩效指标(KPI)以及负责云安全态势管理不同方面的团队。2022 云安全联盟大中华区版权所有72.概概要要云配置不当一直是使用公有云的企业最关心的问题。这
8、种错误会导致数据泄露,允许删除或修改资源,导致服务中断,并对业务运营造成严重破坏。最近,由于配置不当导致的漏洞成为头条新闻,为了更好地了解云安全计划的现状、用于减轻安全风险的工具、企业的云安全态势以及企业在减少安全风险方面面临的障碍,我们进行了这项调研。关关键键发发现现 1知知识识和和专专业业技技能能匮匮乏乏不不断断困困扰扰着着安安全全团团队队知识和专业技能匮乏是信息安全行业内众所周知的问题。毫不奇怪,知识匮乏和专业技能被一致认定为:通用云安全的主要障碍(59%)配置不当的主要原因(62%)主动预防或修复配置不当的障碍(59%)实施自动补救的主要障碍(56%)这些发现突出了“知识匮乏”对安全团
9、队可能产生的涓滴效应。它首先是实施有效的云安全措施的一般障碍,导致了错误的配置,这是数据泄露的主要原因。但它也阻碍了安全团队实施解决方案,如自动修复,这些解决方案可以补充知识和技能的不足。通用云安全的主要障碍配置不当的主要原因主动预防或修复配置不当的障碍实施自动补救的主要障碍 2022 云安全联盟大中华区版权所有8关关键键发发现现 2信信息息安安全全及及IT运运营营团团队队对对降降低低云云配配置置不不当当风风险险承承担担责责任任每年都有由于配置不当而导致的数据泄密事件,涉事公司也因此上了新闻头条;因此很多公司都把配置不当风险当成首要关注点。很多公司没有处理好配置不当风险的可能原因之一就是,对潜
10、在配置不当问题的发现、监控、及追踪,IT运营及信息安全团队承担主要责任(信信息息安安全全54%,IT运运营营33%)同样两团队对问题的修复也需要承担主要责任(信信息息安安全全36%,IT运运营营34%),公司没有将这些责任分担给其他团队,比如DevOps或应用工程团队,这些问题可能就是这些团队产生的,从而更加适合直接修复这些错误。基于这个原因,公司就需要将问题修复的职责转移给DevOps及应用工程团队,这样可以更好的管理配置不当风险。另外,很多公司表明由于配置不当而导致安全事件的主要原因是”缺乏可见性“(68%),公司在选择工具的时候,下面三种功能同样重要:提高可见性有效的风险管理自动化这些功
11、能将帮助企业快速识别及修复配置不当问题,不管是哪个团队对此负责。其他其他不确定应用工程IT 运营信息安全信息安全IT 运营哪哪个个团团队队主主要要负负责责公公司司云云配配置置不不当当问问题题的的发发现现、追追踪踪及及汇汇报报等等工工作作?哪哪个个团团队队主主要要负负责责确确保保云云配配置置不不当当问问题题被被修修复复?2022 云安全联盟大中华区版权所有9关关键键发发现现 3DevSecOps 方方式式对对安安全全部部门门仍仍然然遥遥不不可可及及安安全全部部门门仍仍然然在在努努力力对对齐齐安安全全方方针针及及(或或)方方针针落落地地DevSecOps及安全左移等话题在安全行业越来越热,虽然这些
12、转型将会导致一个更牢固、更安全、更有弹性的应用,但很多组织在落地这些方针时还是很困难。他们甚至在跨部门之间对安全方针及方针落地达成共识方面都较吃力。只有三分之一的组织能成功实施这些转型。部门之间缺乏共识将会导致文化差异,也就是不同的领导有不同的优先级,经常会发生的情况是,这些问题将会先从领导开始,然后蔓延到他的团队。部门之间缺乏共识的一个解释是对前面的关键问题点缺乏知识。如果部门对DevSecOps的战略及最佳实践都没有足够的知识,那将很难在关键问题上达成共识。另外同样值得注意的是,尽管有近70%的组织在对安全方针及方针落地上对跨部门间达成共识存在困难,但只有39%的组织认为这是解决安全问题的
13、最大障碍。所以这些部门可能遇到更多的根本问题,这些问题将会阻碍DevSecOps或安全左移模型的落地。没有对安全方针及落地方针进行达成共识对安全方针达成共识,但没有对落地方针达成共识对安全方针及落地方针已经达成共识安安全全,I IT T 运运营营、及及开开发发团团队队对对安安全全方方针针和和落落地地方方针针的的关关系系 2022 云安全联盟大中华区版权所有10部部门门间间在在安安全全方方针针和和执执行行方方面面的的一一致致性性对对主主动动安安全全至至关关重重要要如果组织能够在部门之间获得关于安全方针和执行方针的一致性,并且正在转向DevSecOp方法,那么就能够更好地处理配置错误。这些组织更有
14、可能在错误发生一天内检测到错误配置(完完全全一一致致 56%,部部分分一一致致 41%,没没有有一一致致 31%),也 更 有 可 能 在 检 测 到 配 置 不 当 一 天 内 纠 正这 个 错 误(完完全全一一致致51%,部部分分一一致致24%,没没有有一一致致19%)。由于配置不当是导致据数据泄露的主要原因之一,检测和纠正这些错误的时间越短,企业总体上就越安全。很明显,这种对DevSecOps方法的协作和进步是组织解决配置不当的关键,而且也减少了数据泄露或其他重大安全事件的风险。与安全方针保持一致并且强制执行与安全方针保持一致但没有强制执行没有与安全方针保持一致而且没有强制执行与安全方针
15、保持一致并且强制执行与安全方针保持一致但没有强制执行没有与安全方针保持一致而且也没有强制执行在在一一天天内内检检测测配配置置不不当当在在一一天天内内纠纠正正配配置置不不当当 2022 云安全联盟大中华区版权所有113.云云安安全全程程序序的的当当前前状状态态3.2公公有有云云的的年年度度预预算算参与者之间云预算差异很大。然而,最常见的三个回答都在150万美元以下。“$0-$250,000”占占 22%,“$500,001-$1,500,000”占占15%和“$250,001-$500,000”占占13%。不确定的人也占显著比例(16%).3.1使使用用公公有有云云提提供供商商市市场场上上还还没
16、没有有一一个个占占主主导导地地位位的的公公共共云云平平台台,但但是是Amazon Web Services(AWS)、Microsoft Azure和和谷谷歌歌云云平平台台(GCP)仍仍然然是是主主要要的的公公共共云云提提供供商商。在在这这项项调调研研中中,74%的的受受访访者者使使用用AWS,79%使使用用Azure,41%使使用用GCP.79%41%Google CloudPlatform(GCP)6%Alibaba CloudMicrosoftAzure6%IBM74%8%OracleAmazon WebServices(AWS)2022 云安全联盟大中华区版权所有123.3对对抗抗云云
17、安安全全漏漏洞洞的的总总体体信信心心水水平平为了评估受访者对其组织安全计划的信心,受访者被要求评估他们对组织防御及处置云安全漏洞的能力的总体信心水平。大多数受访者表示“一一般般有有自自信信”(42%)或“非非常常有有信信心心”(31%)。3.4对对防防御御云云漏漏洞洞威威胁胁的的能能力力充充满满信信心心受访者对其组织在不同领域抵御威胁和漏洞的能力的信心水平,平均处于居中水准。不同类别选项之间的置信水平差异很小。其中,信心水平最高的“合规与监管”和次高的“网络”,也仅是略高于“错误配置”选项。完全没信心有点信心一般有信心非常有信心很有信心合规和监管网络网络身份和访问管理运行态及工作负载数据丢失或
18、泄配置错误 2022 云安全联盟大中华区版权所有133.5解解决决安安全全问问题题的的障障碍碍解决安全问题的主要障碍并不令人意外,“缺缺乏乏技技能能和和专专业业知知识识”(59%)和和“预预算算和和人人力力资资源源有有限限”(56%)。这两个问题已经困扰了行业一段时间,并且与其他选项密切相关。这表明预算、人员配备和专业知识的问题可能掩盖了其他关键问题,例如“缺乏可见性”和“安全工具不足”。3.6安安全全方方针针制制订订与与落落地地执执行行的的跨跨部部门门协协作作DevSecOps和“安全左移”已成为安全行业中的流行概念。然而,对于许多组织来说,这些概念的落地执行仍很难把握。只有31%的人反映他
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022 云安 风险 合规 配置 不当 报告
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Stan****Shan】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Stan****Shan】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。