云安全风险、合规性和配置不当报告

©2022云安全联盟大中华区版权所有1 @2022云安全联盟大中华区-保留所有权利。本文档发布在云安全联盟大中华区官网(http://www.c-csa.cn)，您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；(b)本文内容不得篡改;(c)不得对本文进行转发散布;(d)不得删除文中商标、版权声明或其他声明；（e）引用本报告内容时，请注明来源于云安全联盟。 ©2022云安全联盟大中华区版权所有2 致谢 本文档《云安全风险、合规性和配置不当报告》(TheStateofCloudSecurityRisk,Compliance,andMisconfigurations)由CSA工作组专家编写，CSA大中华区秘书处组织翻译并审校。 中文版翻译专家（排名不分先后） 组长：李岩 翻译组：林艺芳沈勇欧建军吴贺江澎王彪杨喜龙伏伟任江楠王永霞杨天识审校组：李岩郭鹏程姚凯 感谢以下单位对本文档的支持与贡献： 启明星辰信息技术集团股份有限公司北京天融信网络安全技术有限公司北京北森云计算股份有限公司腾讯云计算（北京）有限责任公司上海缔安科技股份有限公司 英文版本编写专家 主要作者：HillaryBaron 贡献者：JoshBukerSeanHeideAlexKaluzaShamunMahmudJohnYeoh 设计者：StephenLumpeAnnMarieUlskey 特别感谢:：NikhilGirdharProductMarketingLeaderCloudHealth®byVMware LaurenvanderVaartSeniorContentMarketingSpecialistMulti-Cloud,VMware 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱： research@c-csa.cn；国际云安全联盟CSA公众号。 ©2022云安全联盟大中华区版权所有3 目录 致谢3 1.调研的开展和方法论6 1.1研究目的6 2.概要7 关键发现17 关键发现28 关键发现39 安全部门仍然在努力对齐安全方针及(或)方针落地9 部门间在安全方针和执行方面的一致性对主动安全至关重要10 3.云安全程序的当前状态11 3.1使用共有云提供商11 3.2公有云的年度预算11 3.3对抗云安全漏洞的总体信心水平12 3.4对防御云漏洞威胁的能力充满信心12 3.5解决安全问题的障碍13 3.6安全方针制订与落地执行的跨部门协作13 3.7度量安全性和合规性状况14 4.正在使用的云安全工具14 4.1用于云安全的解决方案14 4.2对云服务提供商安全解决方案的满意度15 4.3使用托管服务提供商15 5.云安全状态管理15 5.1识别配置不当15 5.1.1负责检测、跟踪和报告配置不当的团队15 5.1.2云配置不当的原因16 5.1.3检测到配置不当的流水线交付阶段17 5.2因配置不当造成的破坏和事件18 ©2022云安全联盟大中华区版权所有4 5.2.1设计用于管理云配置不当的安全性和合规性标准18 5.2.2防止或修复云配置不当的障碍18 5.3治理与合规19 5.3.1设计用于管理云配置不当的安全性和合规性标准19 5.3.2跨团队和组织执行标准19 5.3.3平衡安全性与项目交付20 5.4解决配置不当的解决方案20 5.4.1负责纠正配置不当的小组20 5.4.2修复配置不当的流水线过程阶段21 5.4.3修复配置不当的时间21 5.4.4改进解决安全性或合规性配置不当的方法组织中最常见的方法22 5.4.5使用自动修复的障碍22 6.人口统计资料23 6.1组织行业23 6.2组织规模23 6.3工作等级23 6.4组织公有云支出24 6.5公司部门主要工作24 ©2022云安全联盟大中华区版权所有5 1.调研的开展和方法论 云安全联盟（CSA）是一个非营利组织，其使命是广泛推广最佳实践，确保云计算和IT技术中的网络安全。CSA还负责教育这些行业内的各种利益相关者(涉及所有其他形式计算中的安全问题)。CSA的成员是由从业者、公司和专业协会组成的广泛联盟。CSA的主要目标之一是开展调研评估信息安全趋势。这些调研有助于衡量信息安全技术在行业内各方面的成熟度，以及安全最佳实践的采用率。 VMware的CloudHealth®为了增加业界对公有云安全的了解，委托CSA开展一项调查并编写这份调查结果报告。CloudHealth为该项目提供资金，并与CSA一起参与制定针对云安全的调查问题，从而共同制定了该倡议。该调查由CSA于2021年5月至2021年6月在线进行，收到1090份来自不同组织规模和地点的IT和安全专业人士的答复。数据分析由CSA的研究团队进行。 1.1研究目的 本调研的目的是评估组织在降低配置不当导致的公有云安全和合规风险方面的准备度。主要研究课题包括： 云安全计划的现状，包括最主要风险和安全工具的使用情况。 组织在缓解配置不当导致的漏洞方面面临的云安全态势管理（CSPM）挑战。 组织准备情况、成功关键绩效指标（KPI）以及负责云安全态势管理不同方面的团队。 ©2022云安全联盟大中华区版权所有6 2.概要 云配置不当一直是使用公有云的企业最关心的问题。这种错误会导致数据泄露，允许删除或修改资源，导致服务中断，并对业务运营造成严重破坏。最近，由于配置不当导致的漏洞成为头条新闻，为了更好地了解云安全计划的现状、用于减轻安全风险的工具、企业的云安全态势以及企业在减少安全风险方面面临的障碍，我们进行了这项调研。 关键发现1 知识和专业技能匮乏不断困扰着安全团队 知识和专业技能匮乏是信息安全行业内众所周知的问题。毫不奇怪，知识匮乏和专业技能被一致认定为: 通用云安全的主要障碍(59%) 配置不当的主要原因(62%) 主动预防或修复配置不当的障碍(59%) 实施自动补救的主要障碍(56%) 这些发现突出了“知识匮乏”对安全团队可能产生的涓滴效应。它首先是实施有效的云安全措施的一般障碍，导致了错误的配置，这是数据泄露的主要原因。但它也阻碍了安全团队实施解决方案，如自动修复，这些解决方案可以补充知识和技能的不足。 主动预防或修复配置不当的障碍 实施自动补救的主要障碍 通用云安全的主要 障碍 配置不当的主要原 因 ©2022云安全联盟大中华区版权所有7 关键发现2 信息安全及IT运营团队对降低云配置不当风险承担责任 每年都有由于配置不当而导致的数据泄密事件，涉事公司也因此上了新闻头条；因此很多公司都把配置不当风险当成首要关注点。 很多公司没有处理好配置不当风险的可能原因之一就是，对潜在配置不当问题的发现、监控、及追踪，IT运营及信息安全团队承担主要责任(信息安全54%,IT运营33%)同样两团 队对问题的修复也需要承担主要责任(信息安全36%,IT运营34%),公司没有将这些责任分担给其他团队，比如DevOps或应用工程团队，这些问题可能就是这些团队产生的，从而更加适合直接修复这些错误。 基于这个原因，公司就需要将问题修复的职责转移给DevOps及应用工程团队，这样可以更好的管理配置不当风险。 另外，很多公司表明由于配置不当而导致安全事件的主要原因是”缺乏可见性“(68%)，公司在选择工具的时候，下面三种功能同样重要: 提高可见性 有效的风险管理 自动化 这些功能将帮助企业快速识别及修复配置不当问题，不管是哪个团队对此负责。 其他 哪个团队主要负责公司云配置不当问题的发现、追 踪及汇报等工作？ IT运营 信息安全 其他 哪个团队主要负责确保云配置不当问题被修复？ 不确定 应用工程 IT运营 信息安全 关键发现3 DevSecOps方式对安全部门仍然遥不可及 安全部门仍然在努力对齐安全方针及(或)方针落地 DevSecOps及安全左移等话题在安全行业越来越热，虽然这些转型将会导致一个更牢固、更安全、更有弹性的应用，但很多组织在落地这些方针时还是很困难。他们甚至在跨部门 之间对安全方针及方针落地达成共识方面都较吃力。只有三分之一的组织能成功实施这些转型。 部门之间缺乏共识将会导致文化差异，也就是不同的领导有不同的优先级，经常会发生的情况是，这些问题将会先从领导开始，然后蔓延到他的团队。部门之间缺乏共识的一个解释是对前面的关键问题点缺乏知识。如果部门对DevSecOps的战略及最佳实践都没有足够的知识，那将很难在关键问题上达成共识。 另外同样值得注意的是，尽管有近70%的组织在对安全方针及方针落地上对跨部门间达成共识存在困难，但只有39%的组织认为这是解决安全问题的最大障碍。所以这些部门可能遇到更多的根本问题，这些问题将会阻碍DevSecOps或安全左移模型的落地。 安全,IT运营、及开发团队对安全方针和落地方针的关系 没有对安全方针及落地方针进行 达成共识 对安全方针及落地方针已经达成共识 ©2022云安全联盟大中华区版权所有9 对安全方针达成共识，但没有对落地方针达成共识 部门间在安全方针和执行方面的一致性对主动安全至关重要 如果组织能够在部门之间获得关于安全方针和执行方针的一致性，并且正在转向DevSecOp方法，那么就能够更好地处理配置错误。这些组织更有可能在错误发生一天内检测到错误配置(完全一致–56%,部分一致–41%,没有一致–31%)，也更有可能在检测到配置不当一天内纠正这个错误(完全一致–51%,部分一致–24%,没有一致–19%)。由于配置不当是导致据数据泄露的主要原因之一，检测和纠正这些错误的时间越短，企业总体上就越安全。很明显，这种对DevSecOps方法的协作和进步是组织解决配置不当的关键，而且也减少了数据泄露或其他重大安全事件的风险。 在一天内检测配置不当 与安全方针保持一致并且强制执行与安全方针保持一致但没有强制执行 没有与安全方针保持一致而且没有强制执行 在一天内纠正配置不当 ©2022云安全联盟大中华区版权所有10 与安全方针保持一致并且强制执行与安全方针保持一致但没有强制执行没有与安全方针保持一致而且也没有强制 执行 3.云安全程序的当前状态 3.1使用公有云提供商 市场上还没有一个占主导地位的公共云平台，但是AmazonWebServices(AWS)、MicrosoftAzure和谷歌云平台(GCP)仍然是主要的公共云提供商。在这项调研中,74%的受访者使用AWS,79%使用Azure,41%使用GCP. 41% 79% GoogleCloudPlatform(GCP) Microsoft 6% AlibabaCloud 6% Azure IBM 8% 74%Oracle AmazonWebServices(AWS) 3.2公有云的年度预算 参与者之间云预算差异很大。然而，最常见的三个回答都在150万美元以下。“$0- $250,000”占22%,“$500,001-$1,500,000”占15%和“$250,001-$500,000”占13%。不确定的人也 占显著比例(16%). ©2022云安全联盟大中华区版权所有11 3.3对抗云安全漏洞的总体信心水平 为了评估受访者对其组织安全计划的信心，受访者被要求评估他们对组织防御及处置云安全漏洞的能力的总体信心水平。大多数受访者表示“一般有自信”(42%)或“非常有信心”(31%)。 非常有信心 完全没信心 很有信心 有点信心 一般有信心 合规和监管网络 网络 身份和访问管理 运行态及工作负载 数据丢失或泄 配置错误 3.4对防御云漏洞威胁的能力充满信心 受访者对其组织在不同领域抵御威胁和漏洞的能力的信心水平，平均处于居中水准。不同类别选项之间的置信水平差异很小。其中，信心水平最高的“合规与监管”和次高的“网络”，也仅是略高于“错误配置”选项。 ©2022云安全联盟大中华区版权所有12 缺