CSA 云计算的11类顶级威胁

云计算的 11 类顶级威胁 m o c . 5 b u h t i g ©2020 云安全联盟-版权所有 1 @2020 云安全联盟-保留所有权利。你可以在你的电脑上下载、储存、展示、查看、打印及，或者访问云安全联盟官网（https://cloudsecurityalliance.org）。须遵守以下: （a）本文只可作个人、信息获取、非商业用途；(b) 本文内容不得篡改; (c)本文不得转发; (d)该商标、版权或其他声明不得删除。在遵循美国版权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟。 m o c . 5 b u h t i g ©2020 云安全联盟-版权所有 2 感谢我们的赞助商云安全联盟（CSA）是一个非营利性的、由成员推动的组织，致力于定义最佳实践及提高对它的认识，以确保安全的云计算环境。基于行业从业者、协会、政府、以及企业和个人会员的专业知识，CSA 提供云安全研究、教育、认证、活动和产品。CSA 的活动、知识和广泛的网络使受云计算影响的整个社区—从提供商和客户，到政府、企业家和保证行业—都受益匪浅，并提供了一个论坛，让不同的各方可以通过这个论坛共同创造和维护一个值得信赖的云生态系统。CSA 研究以独立于厂商的中立、灵活和结果的完整为荣。 m o c . 5 感谢 ExtraHop 为研究的发展提供资金支持，并确保 CSA 研究生命周期内的质量控制。 b u h t i g ExtraHop 是 CSA 企业会员，他们支持研究项目的研究成果，但对 CSA 研究的内容开发或编辑权没有额外的影响。 ©2020 云安全联盟-版权所有 3 目录鸣谢............................................................................................................................................ 5 序言............................................................................................................................................ 7 概要............................................................................................................................................ 8 1.安全问题：数据泄露............................................................................................................ 9 2.安全问题：配置错误和变更控制不足..............................................................................12 3.安全问题：缺乏云安全架构和策略..................................................................................15 4.安全问题：身份，凭据，访问和密钥管理的不足..........................................................18 m o c . 5 5.安全问题：账户劫持..........................................................................................................24 6.安全问题：内部威胁..........................................................................................................27 7.安全问题：不安全接口和 API...........................................................................................31 8.安全问题：控制面薄弱......................................................................................................34 b u 9.安全问题：元结构和应用结构失效..................................................................................37 10.安全问题：有限的云使用可见性....................................................................................42 h t i g 11.安全问题：滥用及违法使用云服务................................................................................46 结论..........................................................................................................................................49 附录：方法论..........................................................................................................................50 关于赞助者..............................................................................................................................51 ©2020 云安全联盟-版权所有 4 鸣谢主席 Jon-Michael C. Brook 贡献者 Jon-Michael C. Brook Alexander Getsin Greg Jensen Laurie Jameson Michael Roza Neha Thethi Ashish Kurmi Shachaf Levy Shira Shamban Vic Hargrave Victor Chin Zoran Lalic Randall Brooks 云安全联盟全球成员 m o c . 5 b u h t i g Victor Chin Stephen Lumpe (Cover Art) AnnMarie Ulskey (Design) 修订记录日期批准注解 2019 年 8 月 6 日 John Yeoh 原文刊载 2019 年 10 月 1 日 John Yeoh 勘误，略作调整 2020 年 2 月 4 日 John Yeoh 增加赞助商 2020 年 4 月 8 日 Frank Guanco ©2020 云安全联盟-版权所有少量更新 5 中文版翻译说明由云安全联盟大中华区（CSA GCR）秘书处组织翻译《云计算的 11 类顶级威胁》 (Top Threats to Cloud Computing The Egregious 11)，云安全联盟大中华区专家翻译并审校。翻译审校工作专家：（按字母顺序排序）组长：沈勇组员：陈皓、伏伟任、高巍、江楠（腾讯云）、靳明星（易安联）、李岩、刘宇馨 m o c . 5 （奇安信）、欧建军、唐宇（龙湖集团）、王安宇（OPPO）、王贵宗、王永霞（腾讯云）、杨喜龙、于乐、余晓光（华为）、张威 b u 在此感谢以上参与该文档的翻译审校工作的专家及工作人员。如译文有不妥当之处，敬请读者联系 CSA GCR 秘书处给与雅正! 联系邮箱：info@c-csa.cn; 云安全联盟 CSA 公众号： h t i g ©2020 云安全联盟-版权所有 6 序言如今，越来越多的企业正在将数据和应用程序迁移到云中，这带来了独特的信息安全挑战。而企业在使用云计算服务时将面临 11 个主要的云安全威胁。保护企业在云中数据的主要责任并完全不在于服务提供商，而主要在于客户本身。为了使组织对云安全问题有新的了解，以便他们可以就云采用策略做出有根据的决策，云安全联盟 CSA 发布了新版本的《云计算的 11 类顶级威胁》，报告反映了 CSA 安全专家之间当前就云中重要的安全问题达成的共识。尽管云中存在许多安全问题，但这个列表主要关注 11 个与云计算的共享、按需特性相关的问题。本报告由 CSA 全球云威胁工作组专家们原创，大 m o c . 5 中华区云安全专家们翻译，相信与以前的各版本那样对近期开始云转型和已经采用云服务的企业会有所帮助。 b u h t i g 李雨航 Yale Li CSA 大中华区主席兼研究院院长 ©2020 云安全联盟-版权所有 7 概要 “顶级威胁”报告一贯旨在提高对云平台威胁，风险和漏洞的认识。此类问题通常由云计算按需和共享的天生特征导致。在第四部分中，我们再次就云行业安全问题与 241 位行业专家进行调查。今年，我们的受访者对其云环境中的 11 个主要威胁，风险和漏洞进行了评估。最高威胁工作组结合调查结果及专业知识来撰写 2019 年最终报告（“本报告”）。最新报告按调查结果重要程度着重介绍了前 11 个威胁（括号中是以往的排名）： m o c . 5 1.数据泄露（1） 2.配置错误和变更控制不足 3.缺乏云安全架构和策略 4.身份，凭证，访问和密钥管理不足 b u 5.帐户劫持（5） 6.内部威胁（6） h t i g 7.不安全的接口和 API（3） 8.控制平面薄弱 9.元结构和应用程序结构失效 10.有限的云使用可见性 11.滥用及违法使用云服务（1