云计算的11类顶级威胁

云计算的11类 顶级威胁 1 ©2020云安全联盟-版权所有 @2020云安全联盟-保留所有权利。你可以在你的电脑上下载、储存、展示、查看、打印及，或者访问云安全联盟官网（https://cloudsecurityalliance.org）。须遵守以下:（a）本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改;(c)本文不得转发;(d)该商标、版权或其他声明不得删除。在遵循美国版权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟。 感谢我们的赞助商 云安全联盟（CSA）是一个非营利性的、由成员推动的组织，致力于定义最佳实践及提高对它的认识，以确保安全的云计算环境。基于行业从业者、协会、政府、以及企业和个人会员的专业知识，CSA提供云安全研究、教育、认证、活动和产品。CSA的活动、知识和广泛的网络使受云计算影响的整个社区—从提供商和客户，到政府、企业家和保证行业—都受益匪浅，并提供了一个论坛，让不同的各方可以通过这个论坛共同创造和维护一个值得信赖的云生态系统。CSA研究以独立于厂商的中立、灵活和结果的完整为荣。 感谢ExtraHop为研究的发展提供资金支持，并确保CSA研究生命周期内的质量控制。 ExtraHop是CSA企业会员，他们支持研究项目的研究成果，但对CSA研究的内容开发或编辑权没有额外的影响。 目录 鸣谢5 序言7 概要8 1.安全问题：数据泄露9 2.安全问题：配置错误和变更控制不足12 3.安全问题：缺乏云安全架构和策略15 4.安全问题：身份，凭据，访问和密钥管理的不足18 5.安全问题：账户劫持24 6.安全问题：内部威胁27 7.安全问题：不安全接口和API31 8.安全问题：控制面薄弱34 9.安全问题：元结构和应用结构失效37 10.安全问题：有限的云使用可见性42 11.安全问题：滥用及违法使用云服务46 结论49 附录：方法论50 关于赞助者51 主席 Jon-MichaelC.Brook 贡献者 Jon-MichaelC.BrookAlexanderGetsinGregJensen LaurieJamesonMichaelRozaNehaThethiAshishKurmiShachafLevyShiraShambanVicHargraveVictorChinZoranLalicRandallBrooks 云安全联盟全球成员 VictorChin StephenLumpe(CoverArt)AnnMarieUlskey(Design) 修订记录 日期 2019年8月6日 批准 JohnYeoh 注解 原文刊载 2019年10月1日 JohnYeoh 勘误，略作调整 2020年2月4日 JohnYeoh 2020年4月8日 FrankGuanco 增加赞助商 少量更新 鸣谢 中文版翻译说明 由云安全联盟大中华区（CSAGCR）秘书处组织翻译《云计算的11类顶级威胁》(TopThreatstoCloudComputingTheEgregious11)，云安全联盟大中华区专家翻译并审校。 翻译审校工作专家：（按字母顺序排序） 组长：沈勇 组员：陈皓、伏伟任、高巍、江楠（腾讯云）、靳明星（易安联）、李岩、刘宇馨 （奇安信）、欧建军、唐宇（龙湖集团）、王安宇（OPPO）、王贵宗、王永霞（腾讯云）、杨喜龙、于乐、余晓光（华为）、张威 在此感谢以上参与该文档的翻译审校工作的专家及工作人员。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱：info@c-csa.cn;云安全联盟CSA公众号： 序言 如今，越来越多的企业正在将数据和应用程序迁移到云中，这带来了独特的信息安全挑战。而企业在使用云计算服务时将面临11个主要的云安全威胁。保护企业在云中数据的主要责任并完全不在于服务提供商，而主要在于客户本身。为了使组织对云安全问题有新的了解，以便他们可以就云采用策略做出有根据的决策，云安全联盟CSA发布了新版本的《云计算的11类顶级威胁》，报告反映了CSA安全专家之间当前就云中重要的安全问题达成的共识。尽管云中存在许多安全问题，但这个列表主要关注11个与云计算的共享、按需特性相关的问题。本报告由CSA全球云威胁工作组专家们原创，大中华区云安全专家们翻译，相信与以前的各版本那样对近期开始云转型和已经采用云服务的企业会有所帮助。 李雨航YaleLiCSA大中华区主席兼研究院院长 概要 “顶级威胁”报告一贯旨在提高对云平台威胁，风险和漏洞的认识。此类问题通常由云计算按需和共享的天生特征导致。在第四部分中，我们再次就云行业安全问题与241位行业专家进行调查。今年，我们的受访者对其云环境中的11个主要威胁，风险 和漏洞进行了评估。最高威胁工作组结合调查结果及专业知识来撰写2019年最终报告 （“本报告”）。 最新报告按调查结果重要程度着重介绍了前11个威胁（括号中是以往的排名）： 1.数据泄露（1） 2.配置错误和变更控制不足 3.缺乏云安全架构和策略 4.身份，凭证，访问和密钥管理不足 5.帐户劫持（5） 6.内部威胁（6） 7.不安全的接口和API（3） 8.控制平面薄弱 9.元结构和应用程序结构失效 10.有限的云使用可见性 11.滥用及违法使用云服务（10）观察和理由 在分析了此调查的所有回复之后，我们注意到在云服务提供商（CSP）的努力下，传统云安全问题的排名有所下降。拒绝服务，共享技术漏洞以及云服务提供商数据丢失和系统漏洞之类的担忧（在以前的潜在风险TOP12中都具有）现在的评分非常低，已不在本报告之列。这表明，由云服务提供商负责的传统安全问题似乎已经有效的缓解。相反，我们看到更多的是需要解决那些位于技术栈更高层次的安全问题，这些问题是高级管理层决策的结果。 在调查中，评分最高的新项目更加细微，表明消费者对云的理解日益成熟。这些问 题本质上是云计算的固有特性，表明消费者正在积极考虑向云迁移的技术环境。这些主题涉及潜在的控制平面缺陷，元结构和应用结构故障以及有限的云可见性。这些新的重点与以前的《关键威胁（TopThreats）》报告中更为突出的通用威胁，风险和漏洞（即数据丢失，拒绝服务）明显不同。 我们希望本报告能够提高组织对最重要的安全问题及其应对措施的认识，并确保在为云迁移和安全性制定预算时将其考虑在内。该报告提供了控制建议和参考示例，旨在供合规，风险和技术人员使用。管理层也能够从本报告的技术趋势和概述中受益。 1.安全问题：数据泄露 历史排名 顶级威胁1顶级威胁1 安全责任 �客户�云服务供应商☑两者皆有 架构 ☑应用程序☑信息☑元数据☑基础设施 云服务模型 ☑软件即服务（SaaS）☑平台即服务（PaaS）☑基础设施即服务（IaaS） 数据泄露是指敏感、受保护或机密信息被未经授权的个人发布、查看、窃取或使用的网络安全事件。数据泄露可能是蓄意攻击的主要目的，也可能仅仅是人为错误、应用程序漏洞或安全措施不足的结果。数据泄露涉及任何非公开发布的信息，包括但不限于个人健康信息、财务信息、个人可识别信息（PII）、商业秘密和知识产权。 业务影响 数据泄露的负面后果可能包括： 1.对客户或合作伙伴声誉和信任的影响 2.丢失应对竞争对手的知识产权，可能影响产品发布 3.监管影响：可能导致的财务损失 4.品牌影响：由于上述原因导致的市场价值减少 5.法律和合同责任 6.应急响应和取证所产生的财务花销 有一些数据泄露的情况在发生后几个月才被发现。在此类事件中，其影响可能不会 立即显现（例如，知识产权盗窃）。例如，美国人事管理办公室（OPM）和索尼电影公司的数据泄露都有大约一年的迟滞时间。 关键信息 1.数据正成为网络攻击的主要目标。对于拥有或处理数据的组织而言，定义数据的业务价值及其丢失的影响非常重要。 2.保护数据正在演变成一个谁有权访问数据的问题。 3.通过互联网访问的数据是最容易被错误配置或利用的漏洞资产。 4.加密技术可以帮助保护数据，但会对系统性能产生负面影响，同时降低应用程序的用户友好性。 5.一个稳健且经过充分测试的应急响应计划，考虑到云服务供应商(CSP)和数据隐私法，将有助于数据泄露受害者恢复。 案例 •由于云计算环境的破坏，Timehop的数据泄露影响了2100万用户。社交媒体访问令牌也遭到破坏。 •Uber披露，其亚马逊网络服务（AWS）账户在2016年底遭到黑客攻击，全球5700 万用户的个人信息受到损害。 •2019年，提供互联网语音协议（VoIP）服务的电信公司Voipo公布了数以百万计的客户通话日志、短消息服务（SMS）日志和凭证。该数据库于2018年6月公开，其中包含可追溯至2015年5月的通话和消息日志。许多文件都包含详细的通话记录（即谁给谁打电话、通话时间等）。Voipo总共暴露了“700万个通话记录、600万条短信和包含未加密密码的内部文档，如果使用这些密码，攻击者可以深入访问该公司的系统。 CSA安全指南 领域2:治理与企业风险管理 领域3:法律问题，合同和电子举证 领域4:合规和审计管理 领域5:信息治理 领域6:管理平面和业务连续性 领域9:事件响应 领域11:数据安全和加密 领域12:身份、授权和访问管理 领域14:相关技术 CCM控制项 AIS应用程序和接口安全AIS-01:应用程序安全AIS-02:客户访问要求AIS-03:数据完整性 AIS-04:数据安全/完整性 CCC变更控制和配置管理 CCC-05:生产变更 DSI数据安全与信息生命周期管理 DSI-01:分类 DSI-02:数据目录/数据流 DSI-03:电子商务交易 DSI-04:处理/标示/安全策略 DSI-05:非生产数据 DSI-07:安全处置 EKM加密与密钥管理 EKM-01:权限 EKM-02:密钥生成EKM-03:敏感数据保护EKM-04:存储与访问 GRM治理与风险管理 GRM-02:关注数据的风险评估 GRM-06:策略 GRM-10:风险评估 IAM身份与访问控制IAM-01:审计工具访问IAM-04:策略和规程 威胁分析 链接和引用 � 身份欺骗 1.TimehopSecurityIncident,July4,2018: � 篡改数据 https://www.timehop.com/security/ � 抵赖 2.UberDisclosesYear-OldAWSDataBreach,ExposingMillionsof ☑ 信息泄露 Users: � 拒绝服务 https://awsinsider.net/articles/2017/11/21/uber-aws-data-breach.a � 权限提升 spx3.AmazonhitwithmajordatabreachdaysbeforeBlackFriday:https://www.theguardian.com/technology/2018/nov/21/amazon-hit-with-major-databreach-days-before-black-friday4.VOIPOdatabaseexposedmillionsofcallandSMSlogs,systemdata:https://www.zdnet.com/article/voipo-database-exposed-millions-of-calland-sms-logs-system-data/ 2.安全问题：配置错误和变更控制不足 历史排名 新的顶级威胁 安全责任 ☑客户�云服务供应商�客户和云服务提供商 架构 ☑应用架构☑信息架构☑元数据架构☑基础设施架构 云服务模型 ☑软件即服务（SaaS）☑平台即服务（PaaS）☑基础设施即服务（IaaS） 当计算资产设置不正确时，就会产生配置错误，这时常会使它们面对恶意活动时倍显脆弱。一些常见的例子包括： 不安全的数据存储要素（元素）或容器 