金融行业：云环境下的金融服务现状

©2023云安全联盟大中华区版权所有1 CSA金融服务行业工作组官网地址是： https://cloudsecurityalliance.org/research/working-groups/financial-services/ @2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 致谢 报告支持单位 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4月，总部位于北京。公司于2014 年1月29日在深圳证券交易所创业板上市，证券 代码：300369。绿盟科技在国内设有50余个分支机构，为政府、金融、运营商、能源、交通、科教文卫、企业等各大行业用户与各类型企业用户提供全线网络安全产品、全方位安全解决方案和 体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立了海外子公司和办事处，深入开展全球业务，打造全球网络安全行业的中国品牌。 工商银行软件开发中心1996年6月在珠海成立，主要负责全行应用研发、新技术研究、技术管理、服务支持、生产运维、人才培养任务目前分布在珠海、广州、上海、北京、杭州、成都、西安等7个城市办公。成立以来，软件开发中心聚焦科技创新能力提升，深耕行业应用，赋能业务发展，先后自主研发了4代核心 银行系统，建设了24条业务线，涵盖195个业务系统，构建了支撑全集团经营管理、服务 境内外客户、丰富完善的全功能应用产品体系。获得人行科技发展奖169项，人工智能、隐私计算、分布式技术能力获得行业最高评价，以科技创新助力全行高质量发展。 绿盟科技和中国工商银行是CSA大中华区的理事单位，支持该报告内容的翻译，但不影响CSA 研究内容的开发权和编辑权。 英文版本编写专家 作者：HillaryBaronTroyLeachJohnYeoh 贡献者：JoshBukerDanieleCattedduRyanGiffordJezGoldstone SeanHeideErikJohnsonAlexKaluzaStephenLumpe(graphicdesign) VinayPatel 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给予雅正！联系邮箱 research@c-csa.cn；国际云安全联盟CSA公众号。 序言 云计算技术的快速发展，如云原生、无服务器等概念层出不穷，催生了很多新的云服务模式，也带来了诸多安全风险，对云计算安全的关注将成为持续的话题。 同时，各行各业也开始大量采用云计算基础设施，构建基于云原生的服务。特别是金融行业，云优先（CloudFirst）和只有云（CloudOnly）已经成为企业构建新业务的策略。云计算业务日益增加的使用，与不断增加的监管要求和有限安全投入之间形成了客观上的冲突。 对于企业的负责人而言，需要关注云安全新技术的发展，例如人工智能、量子计算和DevSecOps；又要借鉴头部企业在云化趋势下安全的最佳实践，包括人员、流程和技术层面所需要做的工作。本白皮书通过对金融行业企业的安全相关负责人调查，给出了近年来的云环境下金融服务现状和机遇，以及CSA后续的行动计划。相信读者会从中受到启发，更好地执行适合自身的云化策略和行动。 李雨航YaleLiCSA大中华区主席兼研究院院长 前言 云安全联盟（CSA）是一个非营利性组织，其宗旨在于广泛推广确保云计算和IT技术中的网络安全最佳实践。CSA同时也向业界相关成员提供对其他各类网络安全问题的指导。CSA的成员包括安全从业人员、安全厂商及其他专业团体。CSA的主要目标之一是对信息安全趋势进行调查与评估工作。这些调查向组织提供当前信息安全技术成熟度、意见、兴趣和趋势等各类信息。 CSA的金融服务社区的成员来自全球各类银行、金融科技公司、支付处理机构、金融咨询机构、保险公司、金融监管机构、数据保护机构和其他国家监管机构。随着金融业对云的使用持续增长，其所带来的挑战与关注度也在同步上升。过去几年中，CSA为了更好地了解金融业对云计算技术的现状与挑战，从而进行了行业调研。今年研究的目标是为了更好地了解如下内容： ●从金融机构的角度分析云解决方案的采用水平和需求，与2019-2020年进行的调查进行比较。 ●当前面临的挑战以及与云服务供应商的合作。 ●识别在保护金融数据及相关资产安全的云服务中创建指引的新机遇。 目录 致谢4 序言6 前言7 摘要10 调查方法11 调查结果12 日益增长的云服务使用情况12 金融服务多云化是当前现状14 零信任为金融云访问增加完整性15 加强云的数据管理能力16 业务连续性对云端业务至关重要16 满足云端监管要求18 数据隐私、主权和本地化19 监管机构对云服务审计实践的理解20 CSA云控制矩阵建立统一的云安全方法22 通过云硬件安全模块和机密计算加强密钥管理23 技能缺口在云安全领域仍然存在24 金融服务和云领域的机遇26 与新技术和CSP功能保持同步26 为金融服务行业提供充分保障的云安全28 人员：保持相关知识（例如特定平台培训、微培训）28 流程：映射到FSI框架，验证到STAR29 技术：云安全提供商借助安全技术的发展实现对金融服务业的有力支持29 企业和云风险管理30 云环境中仍需要威胁情报和上下文信息31 CSA金融服务计划32 教育32 研究32 行业简报33 保障框架和计划33 结论34 成员资料35 摘要 近年来，金融服务业对云服务的使用大幅增长，预计其将伴随着使用和集成云服务提供商（CSP）所提供的功能进一步增长，以替代传统的银行业、商业和其他金融交易方式以及交换金融数据的方法。 本报告的目的是评估行业现状，并于与三年前行业初期CSA类似的调查结果进行比对，来证实金融服务业领导者正在进一步利用云服务来发现的当前问题和新的机遇。 在与本报告相关的访谈中，金融科技公司的首席信息安全官 （CISO）和云架构师表示，利用可扩展性和快速推向市场的能力，将创新引入市场比以往的做法更划算。此外，银行业专业人员表示，受新冠疫情的影响，利用云服务实现远程办公或快速的动态更新、部署新的软件服务的主要原因是其能够提供符合法规的一致部署协调的安全策略。 本报告中的监管是最具影响力的因素之一。尽管将越来越多的云计算被用于托管受管控数据，但对于云服务提供商如何理解和确保其遵守各国法律仍是值得深思的问题 然而，新的方案伴随着新的风险，受访者表示，尽管云服务的使用正 在不断增加，但其进展需要与CSP和金融服务业展示其符合法规、整体数据保护的能力以及员工对管理工作的舒适程度保持相对一致。 本报告中除了监管之外的主题还包含数据管理的重要性、访问的完整性、威胁情报和良好的企业风险管理。 本报告中最明显的一点是云服务正在不断深入金融服务的各个方面并有望被长时间使用。云服务是否被采用已不在是问题，而更多问题是“如何”使用。如何采取云原生安全策略，如何应用零信任方法，如何指 导员工、监管机构和云合作伙伴等所有相关合作方。 本报告中与CSA共享的信息有助于明确未来的研究内容、标准要求、培训和指导等该社区可能感兴趣的内容。在报告的最后，我们将分享一些建议，以供我们的金融服务业领导委员会考虑。 调查方法 本报告的调查方式是通过与2020年《金融服务部门云使用情况调查报告》的调查结果进行对比，来确认金融服务业对云服务的使用和准备情况。许多问题与最初由CSA金融服务工作组最初的问题相同，以进行公正的对标。 同时，还包括了其他一些问题，以便更好地了解对云控制矩阵和STAR计划的现状，以及由金融服务业领导工作组、CSA分析师和其他行业专家的问题。 此外，我们还对首席信息安全官、首席风险官、金融服务内部云架构和数据治理的其他负责人进行了多次采访。 调查结果 日益增长的云服务使用情况 自新冠疫情以来，金融服务业使用云服务的情况不断增长，几乎所有金融机构都在使用某类云计算服务。98%的受访者表示他们公司正在使用云计算服务，高于2020年的91%。许多受访者讨论了增长的原因，其中一部分是疫情导致新工作场景带来新的发展需求，以适应远程办公和客户对其账户的远程访问。 目前，业界对于在业务关键中使用云计算工作负载的把握已有显著增加。2020年的调查结果显示，当被问及在生产中的“关键业务”工作负载占比时，约66%的服务提供商表示没有关键业务 （20%）或关键业务占比小于十分之一（46%）。这些数字 在2023年的调查结果中有了显著下降(43%)，拥有高占比关键业务工作负载的公司数量几乎翻了一倍，从17%增加到32%。 我们之前的调查相比，在公共云中使用受监管的工作负载的情况增加了，84%的受访者表示他们的一些受监管数据存储在公共云中，前期调查比例为73%。同时，许多金融服务机构采取了私有云和公共云混用的方式，并 继续进行内部部署操作。然而，也有公司认识到许多服务提供商已经将软件服务迁移到云上，这也影响了云的更广泛使用。尽管如此，仅有28%的受访者表 示他们的大部分（50%及以上的工作负载）受监管数据存储在公共云中，这与2020年的24%相比略有增加。 有趣的是，在被问及是什么阻碍公司进一步采用敏感工作负载时，给出的第一个“阻碍因子”几乎都是“难度增加”。在监管和合规功能，尤其是隐私方面，仍是除了技术人员配备外最大的挑战。 金融服务多云化是当前现状 依赖单一的云服务提供商，还是同时注册使用多家云服务，是困扰企业的一个普遍问题。对企业多云使用的目的表明，许多企业已经认识到云提供商多样化的好处，例如可以降低供应商锁定的风险，确保云环境更具有灵活性和弹性。通过使用多家云服务，企业还可以利用每个供应商的独特功能和最佳功 能，避免被某一单一供应商绑定，从而优化其云战略，最大限度地提高投资价值。 调查显示，57%的企业目前使用多家云服务来满足其IaaS/PaaS需求 尽管政府监管机构要求 支持多云服务使用以提高企业业务弹性，但受访的企业首席信息安全官们提到了当前多云发展方面所面临的挑战。主要使用单一云服务商来提供IaaS/PaaS的受访者人数略有增加，这也从侧面印证了首席信息安全官们的观点。第三方云服务之间的信息互通可操作性、信息可移植性、可视性、数据管理、安全策略等方面的复杂性导致了使用多云环境的困难。 随着跨云堆栈的第三方管理对于多云部署变得越来越重要，可见性仍然是一个令人担忧的问题。 与上一份报告中的可见性对比显示，认为其对云堆栈不可见的受访者数量意外增加，尤其是对IaaS和PaaS云堆栈。总体而言，受访者对SaaS和PaaS的可见性从 良好到优秀有所增加，但对IaaS环境的可见性却有所下降。对企业信息安全负责人的访谈的进一步评估显示，这不仅仅是可见性的问题，而是在跨云环境中缺乏通知和变更上下文信息，或者未披露。这为主要的IaaS提供商在操作和活动级别添加额外的可见性、控制和上下文层面留有余地。云原生应用保护平台（CNAPP）和变更通知标准等解决方案的改进将在这方面发挥主导作用。 这种可见性的缺乏可能导致未知的安全和合规风险，例如无保障、无法证明行规符合状态等。企业应该考虑实施健全的SaaS管理策略，以获得更好的可见性和对云环境的控制。 零信任为金融云访问增加完整性 金融组织对查看或操作财务记录的权限的完整性有多种期望。有几个因素促成了这一点，包括上述提到的数据管理方面，以保持机密性，以及防止由于对数据的完整性保护不当而导致的数据丢失或损坏，如洗钱或盗窃。这也是调查中指出零信任是当前首要任务的一个可能原因。 零信任方法要求对敏感数据和资产的访