CSA GCR发布|《云计算的11类顶级威胁》(中文版)
- 2020.08.17
- 4901
如今,越来越多的企业正在将数据和应用程序迁移到云中,这带来了独特的信息安全挑战。保护企业在云中数据的主要责任并不完全在于服务提供商,而主要在于客户本身。为了使组织对云安全问题有新的了解,以便他们可以就云采用策略做出有根据的决策,CSA大中华区发布了新版本的《云计算的11类顶级威胁》(中文版),本报告主要关注11个与云计算的共享、按需特性相关的问题。
以下是本报告关注的11个主要威胁(括号中是在以往报告的排名):
1.数据泄露(1)
2.配置错误和变更控制不足
3.缺乏云安全架构和策略
4.身份,凭证,访问和密钥管理不足
5.帐户劫持(5)
6.内部威胁(6)
7.不安全的接口和API(3)
8.控制平面薄弱
9.元结构和应用程序结构失效
10.有限的云使用可见性
11.滥用及违法使用云服务(10)
拒绝服务,共享技术漏洞以及云服务提供商数据丢失和系统漏洞之类的问题,已不在本报告之列。这表明,由云服务提供商负责的传统安全问题似乎已经有效的缓解。相反,我们看到更多的是需要解决那些位于技术栈更高层次的安全问题,这些问题是高级管理层决策的结果。
在调查中,评分最高的新项目更加细微,表明消费者对云的理解日益成熟。这些问题本质上是云计算的固有特性,表明消费者正在积极考虑向云迁移的技术环境。这些主题涉及潜在的控制平面缺陷,元结构和应用结构故障以及有限的云可见性。这些新的重点与以前的《 关键威胁(Top Threats)》报告中更为突出的通用威胁,风险和漏洞(即数据丢失,拒绝服务)明显不同。
我们希望本报告能够提高组织对最重要的安全问题及其应对措施的认识,并在为云迁移和安全性制定预算时将其考虑在内。该报告提供了控制建议和参考示例,旨在供合规,风险和技术人员使用,管理层也能够从本报告的技术趋势和概述中受益。
感谢CSA大中华区专家对本报告的辛勤付出:
编译组长:沈勇
编译组员:陈皓、伏伟任、高巍、江楠、靳明星、李岩、刘宇馨、欧建军、唐宇、王安宇、王贵宗、王永霞、杨喜龙、于乐、余晓光、张威
贡献单位:华为、龙湖集团、OPPO、奇安信、腾讯、易安联
(以上按字母拼音排序)