CSA 云安全现状年度报告2018

m o c . 5 b u h t i g 云安全现状年度报告 2018 云安全联盟全球企业顾问委员会云安全现状报告 2018© 云安全联盟版权所有鸣谢中文版翻译说明由中国云安全联盟(C-CSA)秘书处组织翻译云安全现状年度报告 2018—GEAB State of the cloud-2018，中国云安全联盟专家委员会专家翻译并审校。翻译审校工作组：陈本峰（组长）、李岩、陈皓、刘洁、沈传宝、马韶华、赵锐、杨喜龙、周钰、高轶峰、张全伟、姚凯、郭迁弟、张威。（排名不分先后） m o c . 5 C-CSA 工作人员：朱晓璐（C-CSA 研究助理）翻译术语 Internet of Things (IoT) 物联网 perimeter :边界 Providers ：提供商、供应商 regulators ：监管者 Threat actors ：威胁行动 community ：社区 b u h t i g native security controls 原生安全控制 Distributed-Denial-of-Service：分布式拒绝服务 S3 bucket 亚马逊 S3 数据仓库 Meltdown and Spectre：熔断与幽灵 Password:口令 phishing attacks: 钓鱼攻击 cloud provider: 云服务提供商 regulatory compliance：法规合规 compliance：合规 service providers：服务提供商 GDPR：General Data Protection Regulation 通用数据保护条例 Threat intelligence：威胁情报云安全现状报告 2018© 云安全联盟版权所有序言随着企业级客户对云安全的需求增加，云服务提供商对云上业务、数据的安全所肩负的责任担子也越来越重。云安全具有广泛的市场空间，但要实现快速发展，还需解决国内外云安全技术创新，标准统一，合规认证，及能力提升等问题，规范市场秩序。目前，国内外云安全相关标准众多，很多国家感到无所适从，不同的企业执行不同的标准，导致市场对安全质量的度量较为混乱，也影响了云计算的应用推广。未来，随着云计算全球化的推进，全球云安全标准将逐渐趋于统一，助力云计算行业快速发展，例如美国政府已与云安全联盟合作将美国联邦云安全标准 FedRAMP 与 CSA CCM 融成一体的 STAR RAMP，德国政府和其它国家也开始效仿。 m o c . 5 云安全联盟发布云安全现状报告 2018，给出云安全现状的专业意见，在威胁态势不断演变的背景下，企业和云服务提供商可以为云安全提供的服务。中国云安全与新兴技术安全创新联盟（简称：中国云安全联盟）组织专家进行翻译为中文版本，相信一定会有助云安全在中国的增强。中国云安全联盟和云安全联盟大中华区非常感谢参与此项目的翻译和支持工作者们。 b u h t i g 中国云安全与新兴技术安全创新联盟常务副理事长 CSA 云安全联盟大中华区主席李雨航 Yale Li 云安全现状报告 2018© 云安全联盟版权所有 m o c . 5 b u ©2018 云安全联盟 h t i g 版权所有保留所有版权。您可以下载、存储、显示在您的计算机上、进行查看、打印和链接到云安全联盟的网址：https://cloudsecurityalliance.org/download/state-of- Cloud-report/。中文版下载到中国云安全联盟官网：http://www.c-csa.cn。前提是:(a)该文档仅供您个人使用，作为信息了解,非商业用途;(b)本文档不得以任何方式修改或修订;(c)文档不得重新分发;(d)不得移除商标、版权或其他通知。你可以依据《美国版权法》中合理使用条款来引用该文档的部分内容，前提是你将这些部分引用标明来自于云安全联盟。云安全现状报告 2018© 云安全联盟版权所有前言云安全联盟全球企业顾问委员会成立于2016年，是由十多位行业的大型跨国公司的顶尖专家组成的代表团队。该委员会的成立是为了表达大型IT终端用户的观点，并融合云计算使用者信息安全相关的观点。全球企业顾问委员会的目标是在云技术方面增加企业间的协作，使企业能够采用安全的实践和技术。这些工作旨在促进云服务提供商满足用户对于安全性与隐私的需求，并帮助监管机构不断加强和改进法规来跟上不断变化的云计算新技术和新 m o c . 5 特性。该委员会发布的报告旨在通过系列的活动，提高对云计算安全的认识以及企业与云服务提供商相互协作重要性的认识。 IT系统的质量和自身的安全能力取决于成熟的大型企业使用者的需求以及他们对行业发展的期待。我们希望您从这份报告中重点了解到的是，云安全是一项需要 b u 不断进行的工作，云计算用户社区有责任相互协作和扩大声音，以确保他们的关键安全问题得到倾听和解决。 h t i g 我们欢迎您对该报告的反馈，并鼓励您关注我们的活动，本文中我们概述了在企业、云服务提供商和监管机构之间加快安全地部署云应用的过程。网址：https://cloudsecurityalliance.org/geab 邮箱：geab@cloudsecurityalliance.org Twitter @csageab Vinay Patel Citi Infrastructure, Chair Niall Casey Johnson & Johnson Pete Chronis Turner Gurdeep Kaur Horizon Blue Vjay LaRosa ADP Michael Panico Disney Marisa Ruffalo Chevron Joe Zacharias Caterpillar 云安全现状报告 2018© 云安全联盟版权所有目录前言目录简介云与相关技术的运用 m o c . 5 云服务提供商在安全方面做了什么？企业在安全发面做了什么？威胁态势正在演变 b u 和监管者的合作行业技能差距摘要 h t i g 关于云安全联盟（CSA）云安全现状报告 2018© 云安全联盟版权所有简介多年来，创新者和早期采用者一直在利用云计算技术的更快的部署过程、更好的扩展性和节省服务成本的优势。云计算的发展将继续加速更多的解决方案的产生，包括安全性和附加的特性。在信息数字化和创新的时代，企业用户必须跟上时代的步伐，才能满足基线能力和安全要求。本文提供了一些最新的企业信息安全从业人员必须知晓的云实践和技术，因为 IT和敏感数据的延伸已经超出传统的企业边界。供应商、监管机构和企业必须合作，才能建立跨服务的基准安全要求。了解云和相关技术的使用以及数据安全和所有权 m o c . 5 的作用和责任，将有助于提高这些服务的采购和长期管理。 b u h t i g 云与相关技术的运用面对当今云服务的广度、范围和丰富性，企业往往不知所措。基础设施即服务 (IaaS)领域由三大供应商主导，他们的服务常常与平台即服务(PaaS)产品重叠。新的能力进一步解耦硬件和软件能力。“无服务器”和“功能即服务”的产品允许用户构建他们的应用程序的时候完全依赖于供应商来管理和提供服务器计算资源的分配。此外，软件即服务(SaaS)市场在不断延伸，提供了新的产品来帮助解决数据、安全、网络和身份方面的问题。此外，云访问安全代理(CASB)、软件定义边界(SDP) 和安全托管服务 (MSS)等服务在试图超越传统的企业边界进行管理时，造成新的操作复杂性。云安全现状报告 2018© 云安全联盟版权所有由于过去两年IT安全预算有所增加1，而且项目在未来五年内持续增长，因此需要在企业用户中进行研究和分享这些服务，以便了解其功能以及如何安全地实施。许多云服务包含平台原生安全控制，通过添加传统环境中不能满足的安全控制措施，消除传统安全服务中的冗余控制和重叠，帮助公司改进其安全状态。提前规划研究、测试、实施和培训用户使用这些原生安全控制是绝对必要的，以最大限度地提升安全收益。云服务正在以许多创新的方式被运用。消费者和企业都在利用云在新兴技术方面的优势。物联网（IoT）设备扩展了计算的边界，允许实地收集和分析数据。人工智能（AI）为数据提供更多的机器学习功能的分析和应用。区块链技术应用 m o c . 5 使信息和交易所有权透明且安全。应用程序容器和微服务引入了在工程实践中安全、敏捷开发和通信的架构。云已经打开了（以上这些及其它）相关技术的大门。探索实际案例和潜在案例对于跟上市场应用的步伐、建设安全的行业最佳实践非常重要。 b u 为新兴技术建立小型项目可确保大家熟悉新技术，以及如何与现有IT基础架构和工具进行集成。与行业合作伙伴共享成功和挑战，可以让采用者在每个项目 h t i g 中构建功能和安全的模式，从而扩展到更大的工作负载以及整个行业。行业合作伙伴和提供商的合作将确保云供应链中的所有合作伙伴满足基准安全要求。 1. https://www.gartner.com/newsroom/id/3836563 云安全现状报告 2018© 云安全联盟版权所有云服务提供商在安全方面做了什么？随着用户对云提供商安全的信任，用户采用了越来越多的云服务。由于云提供商在云平台安全方面的投资，McAfee的一份调查显示，用户对公有云服务完全信任的比例在2017年增加了76%2。但是信任应该基于证据。云提供商正在通过自评估及第三方工具，比如CSA STAR项目3、 ISO 27000-series认证4、以及 FedRAMP认证项目5等方式证明云中的安全。这些平台针对云安全特有风险的安全控制与对策。通过审查通用安全控制集可以对云提供商的通用安全水准进行持续评估。云提供商的安全水平还与他们快速检测、遏制、减轻攻击的能力相关。云提供 m o c . 5 商通过参与网络安全信息共享来重点提升威胁应对的能力。这些威胁情报交换机制使得从最小到最大的云提供商之间共享情报更为容易。从最小云提供商共享的威胁行为者情报，可以防止对于大云提供商的破坏。这些实践已经标准化并对包括企业在内的更大型团体开放。鉴于对手迅速协同实施攻击，信息安全团体需要迅速反应， b u 协同在云提供商、企业及用户之间跨行业交换威胁情报。这可以帮助大家维护标准的安全解决方案。 h t i g 随着威胁态势的演进，云服务提供商持续性的在其平台上添加新的特性功能来