云安全风险、合规性和配置不当报告_25页_2mb.pdf

2022 云安全联盟大中华区版权所有 1 2022 云安全联盟大中华区版权所有 22 0 2 2 云安全联盟大中华区 -保留所有权利。本文档发布在云安全联盟大中华区官网 (c-)，您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（ a）本文只可作个人信息获取，不可用作商业用途； (b) 本文内容不得篡改 ; (c)不得对本文进行转发散布 ; (d)不得删除文中商标、版权声明或其他声明；（ e）引用本报告内容时，请注明来源于云安全联盟。 2022 云安全联盟大中华区版权所有 3致谢本文档云安全风险、合规性和配置不当报告 (The State of Cloud Security Risk,Compliance, and Misconfigurations)由 CSA 工作组专家编写， CSA 大中华区秘书处组织翻译并审校。中文版翻译专家（排名不分先后）组长：李岩翻译组：林艺芳沈勇欧建军吴贺江澎王彪杨喜龙伏伟任江楠王永霞杨天识审校组：李岩郭鹏程姚凯感谢以下单位对本文档的支持与贡献：启明星辰信息技术集团股份有限公司北京天融信网络安全技术有限公司北京北森云计算股份有限公司腾讯云计算（北京）有限责任公司上海缔安科技股份有限公司英文版本编写专家主要作者： HillaryBaron贡献者： Josh Buker Sean Heide AlexKaluza Shamun Mahmud JohnYeoh设计者： Stephen Lumpe AnnMarie Ulskey特别感谢 :： Nikhil Girdhar Product Marketing Leader CloudHealth by VMwareLauren van der Vaart Senior Content Marketing Specialist Multi-Cloud, VMware在此感谢以上专家。如译文有不妥当之处，敬请读者联系 CSA GCR秘书处给与雅正 ! 联系邮箱：researchc-；国际云安全联盟 CSA公众号。 2022 云安全联盟大中华区版权所有 4目录致谢 . 31.调研的开展和方法论 . 61.1研究目的 . 62.概要 . 7关键发现 1. 7关键发现 2. 8关键发现 3. 9安全部门仍然在努力对齐安全方针及 (或 )方针落地 . 9部门间在安全方针和执行方面的一致性对主动安全至关重要 . 103.云安全程序的当前状态 . 113.1使用共有云提供商 . 113.2公有云的年度预算 . 113.3对抗云安全漏洞的总体信心水平 . 123.4对防御云漏洞威胁的能力充满信心 . 123.5解决安全问题的障碍 .133.6安全方针制订与落地执行的跨部门协作 . 133.7度量安全性和合规性状况 . 144.正在使用的云安全工具 . 144.1用于云安全的解决方案 . 144.2对云服务提供商安全解决方案的满意度 .154.3使用托管服务提供商 . 155.云安全状态管理 . 155.1识别配置不当 . 155.1.1负责检测、跟踪和报告配置不当的团队 .155.1.2云配置不当的原因 . 165.1.3检测到配置不当的流水线交付阶段 . 175.2因配置不当造成的破坏和事件 . 18 2022 云安全联盟大中华区版权所有 55.2.1设计用于管理云配置不当的安全性和合规性标准 . 185.2.2 防止或修复云配置不当的障碍 .185.3治理与合规 . 195.3.1设计用于管理云配置不当的安全性和合规性标准 . 195.3.2跨团队和组织执行标准 . 195.3.3平衡安全性与项目交付 . 205.4解决配置不当的解决方案 . 205.4.1负责纠正配置不当的小组 .205.4.2修复配置不当的流水线过程阶段 . 215.4.3修复配置不当的时间 .215.4.4改进解决安全性或合规性配置不当的方法组织中最常见的方法 . 225.4.5使用自动修复的障碍 . 226.人口统计资料 . 236.1组织行业 . 236.2组织规模 . 236.3工作等级 . 236.4组织公有云支出 . 246.5公司部门主要工作 . 24 2022 云安全联盟大中华区版权所有 61 .调研的开展和方法论云安全联盟（ CSA）是一个非营利组织，其使命是广泛推广最佳实践，确保云计算和IT技术中的网络安全。 CSA还负责教育这些行业内的各种利益相关者 (涉及所有其他形式计算中的安全问题 )。 CSA的成员是由从业者、公司和专业协会组成的广泛联盟。 CSA的主要目标之一是开展调研评估信息安全趋势。这些调研有助于衡量信息安全技术在行业内各方面的成熟度，以及安全最佳实践的采用率。VMware的 CloudHealth 为了增加业界对公有云安全的了解，委托 CSA开展一项调查并编写这份调查结果报告。 CloudHealth为该项目提供资金，并与 CSA一起参与制定针对云安全的调查问题，从而共同制定了该倡议。该调查由 CSA于 2 0 2 1 年 5 月至 2 0 2 1 年 6 月在线进行，收到 1 0 9 0 份来自不同组织规模和地点的 IT和安全专业人士的答复。数据分析由 CSA的研究团队进行。1 .1 研究目的本调研的目的是评估组织在降低配置不当导致的公有云安全和合规风险方面的准备度。主要研究课题包括：云安全计划的现状，包括最主要风险和安全工具的使用情况。组织在缓解配置不当导致的漏洞方面面临的云安全态势管理（ CSPM）挑战。组织准备情况、成功关键绩效指标（ KPI）以及负责云安全态势管理不同方面的团队。 2022 云安全联盟大中华区版权所有 72 .概要云配置不当一直是使用公有云的企业最关心的问题。这种错误会导致数据泄露，允许删除或修改资源，导致服务中断，并对业务运营造成严重破坏。最近，由于配置不当导致的漏洞成为头条新闻，为了更好地了解云安全计划的现状、用于减轻安全风险的工具、企业的云安全态势以及企业在减少安全风险方面面临的障碍，我们进行了这项调研。关键发现 1知识和专业技能匮乏不断困扰着安全团队知识和专业技能匮乏是信息安全行业内众所周知的问题。毫不奇怪，知识匮乏和专业技能被一致认定为 : 通用云安全的主要障碍 (5 9 %) 配置不当的主要原因 (6 2 %) 主动预防或修复配置不当的障碍 (5 9 %) 实施自动补救的主要障碍 (5 6 %)这些发现突出了 “ 知识匮乏 ” 对安全团队可能产生的涓滴效应。它首先是实施有效的云安全措施的一般障碍，导致了错误的配置，这是数据泄露的主要原因。但它也阻碍了安全团队实施解决方案，如自动修复，这些解决方案可以补充知识和技能的不足。通用云安全的主要障碍配置不当的主要原因主动预防或修复配置不当的障碍实施自动补救的主要障碍 2022 云安全联盟大中华区版权所有 8关键发现 2信息安全及 IT运营团队对降低云配置不当风险承担责任每年都有由于配置不当而导致的数据泄密事件，涉事公司也因此上了新闻头条；因此很多公司都把配置不当风险当成首要关注点。很多公司没有处理好配置不当风险的可能原因之一就是，对潜在配置不当问题的发现、监控、及追踪， IT运营及信息安全团队承担主要责任 (信息安全 5 4 %, IT运营 3 3 %)同样两团队对问题的修复也需要承担主要责任 (信息安全 3 6 %,IT运营 3 4 %),公司没有将这些责任分担给其他团队，比如 DevOps或应用工程团队，这些问题可能就是这些团队产生的，从而更加适合直接修复这些错误。基于这个原因，公司就需要将问题修复的职责转移给 DevOps及应用工程团队，这样可以更好的管理配置不当风险。另外，很多公司表明由于配置不当而导致安全事件的主要原因是 ” 缺乏可见性“ (6 8 %)，公司在选择工具的时候，下面三种功能同样重要 : 提高可见性有效的风险管理自动化这些功能将帮助企业快速识别及修复配置不当问题，不管是哪个团队对此负责。其他其他不确定应用工程 IT运营信息安全信息安全IT 运营哪个团队主要负责公司云配置不当问题的发现、追踪及汇报等工作？哪个团队主要负责确保云配置不当问题被修复？ 2022 云安全联盟大中华区版权所有 9关键发现 3DevSecOps 方式对安全部门仍然遥不可及安全部门仍然在努力对齐安全方针及 (或 )方针落地DevSecOps及安全左移等话题在安全行业越来越热，虽然这些转型将会导致一个更牢固、更安全、更有弹性的应用，但很多组织在落地这些方针时还是很困难。他们甚至在跨部门之间对安全方针及方针落地达成共识方面都较吃力。只有三分之一的组织能成功实施这些转型。部门之间缺乏共识将会导致文化差异，也就是不同的领导有不同的优先级，经常会发生的情况是，这些问题将会先从领导开始，然后蔓延到他的团队。部门之间缺乏共识的一个解释是对前面的关键问题点缺乏知识。如果部门对 DevSecOps的战略及最佳实践都没有足够的知识，那将很难在关键问题上达成共识。另外同样值得注意的是，尽管有近 7 0 %的组织在对安全方针及方针落地上对跨部门间达成共识存在困难，但只有 3 9 %的组织认为这是解决安全问题的最大障碍。所以这些部门可能遇到更多的根本问题，这些问题将会阻碍 DevSecOps或安全左移模型的落地。没有对安全方针及落地方针进行达成共识对安全方针达成共识，但没有对落地方针达成共识对安全方针及落地方针已经达成共识安全 , IT 运营、及开发团队对安全方针和落地方针的关系 2022 云安全联盟大中华区版权所有 1 0部门间在安全方针和执行方面的一致性对主动安全至关重要如果组织能够在部门之间获得关于安全方针和执行方针的一致性，并且正在转向 DevSecOp方法，那么就能够更好地处理配置错误。这些组织更有可能在错误发生一天内检测到错误配置 (完全一致 5 6 %,部分一致 4 1 %, 没有一致 3 1 %)，也更有可能在检测到配置不当一天内纠正这个错误 (完全一致 5 1 %, 部分一致 2 4 %,没有一致 1 9 %)。由于配置不当是导致据数据泄露的主要原因之一，检测和纠正这些错误的时间越短，企业总体上就越安全。很明显，这种对 DevSecOps方法的协作和进步是组织解决配置不当的关键，而且也减少了数据泄露或其他重大安全事件的风险。与安全方针保持一致并且强制执行与安全方针保持一致但没有强制执行没有与安全方针保持一致而且没有强制执行与安全方针保持一致并且强制执行与安全方针保持一致但没有强制执行没有与安全方针保持一致而且也没有强制执行在一天内检测配置不当在一天内纠正配置不当 2022 云安全联盟大中华区版权所有 1 13 .云安全程序的当前状态3 .2 公有云的年度预算参与者之间云预算差异很大。然而，最常见的三个回答都在 1 5 0 万美元以下。 “$ 0 -$ 2 5 0 ,0 0 0 ”占 2 2 %, “$ 5 0 0 ,0 0 1 -$ 1 ,5 0 0 ,0 0 0 ” 占 1 5 %和 “$ 2 5 0 ,0 0 1 -$ 5 0 0 ,0 0 0 ”占 1 3 %。不确定的人也占显著比例 (1 6 %).3 .1 使用公有云提供商市场上还没有一个占主导地位的公共云平台，但是 Amazon Web Services (AWS)、 Microsoft Azure和谷歌云平台 (GCP)仍然是主要的公共云提供商。在这项调研中 , 7 4 %的受访者使用 AWS, 7 9 %使用 Azure, 4 1 %使用 GCP. 79% 41%Google CloudPlatform(GCP) 6% Alibaba CloudMicrosoftAzure 6%IBM74% 8% OracleAmazon WebServices(AWS) 2022 云安全联盟大中华区版权所有 1 23 .3 对抗云安全漏洞的总体信心水平为了评估受访者对其组织安全计划的信心，受访者被要求评估他们对组织防御及处置云安全漏洞的能力的总体信心水平。大多数受访者表示 “一般有自信 ”(4 2 %)或 “非常有信心 ”(3 1 %)。3 .4 对防御云漏洞威胁的能力充满信心受访者对其组织在不同领域抵御威胁和漏洞的能力的信心水平，平均处于居中水准。不同类别选项之间的置信水平差异很小。其中，信心水平最高的 “ 合规与监管 ” 和次高的 “ 网络 ” ，也仅是略高于 “ 错误配置 ” 选项。完全没信心有点信心一般有信心非常有信心很有信心合规和监管网络网络身份和访问管理运行态及工作负载数据丢失或泄配置错误 2022 云安全联盟大中华区版权所有 1 33 .5 解决安全问题的障碍解决安全问题的主要障碍并不令人意外， “缺乏技能和专业知识 ” (5 9 %)和 “预算和人力资源有限 ” (5 6 %)。这两个问题已经困扰了行业一段时间，并且与其他选项密切相关。这表明预算、人员配备和专业知识的问题可能掩盖了其他关键问题，例如“ 缺乏可见性 ” 和 “ 安全工具不足 ” 。3 .6 安全方针制订与落地执行的跨部门协作DevSecOps和 “ 安全左移 ” 已成为安全行业中的流行概念。然而，对于许多组织来说，这些概念的落地执行仍很难把握。只有 3 1 %的人反映他们的内部团队能在安全方针制订和执行上保持一致。 “ 内部缺乏支持的一致性 “ 可能是由于不同部门间的文化差异，例如不同的目标优先级。另一方面也可能是 “ 缺乏相应的专业知识 ” ，这也是上一个问题中提到的。还值得注意的是，尽管大约 7 0 %的组织致力于 “ 安全方针和执行方面获得跨部门的一致性 ” ，但只有 3 9 %认为这是解决安全问题的主要障碍。此外，在安全方针及落地执行上跨部门协作性更好的受访者更高概率反馈他们对自己抵御安全漏洞的能力 “ 非常有信心 ” 或 “ 非常有信心 ” （非常有信心：完全一致 1 5 % ,部分对齐 - 2 %，不对齐 - 1 %；非常有信心：完全对齐 - 4 9 %，部分对齐 - 2 7 %，不对齐 -1 6 %）。综上，我们可以得出结论， “ 内部一致性 ” 是希望改善云安全状况的组织应关注的关键决定因素和基线要求。 1 2缺乏技能和专业指示有限的预算和人力资源难以管理复杂的云环境缺乏内部一致性或支持缺乏对云环境的可见性安全工具不足与安全方针和执行方针不一致与安全方针保持一致，但与执行方针不一致与安全方针和执行方针保持一致 2022 云安全联盟大中华区版权所有 1 4未解决的高风险配置错误或违规的百分比安全和合规性控制识失败的数量解决错误配置或安全和合规性违规的平均时间安全或合规性控制覆盖的云库存的百分比检测错误配置或违反安全和法规遵从性的平均时间3 .7 度量安全性和合规性状况组织用来度量其安全性和合规性状况的指标视情况而异。受访者被要求选择他们组织使用的前三个指标。选择最多的回答是 “未解决的高风险错误配置或违规的百分比 ”(4 2 %),“安全和合规性控制失败的数量 ”(3 8 %),和 “解决错误配置或安全和合规性违规的平均时间 ”(3 2 %)。4 .正在使用的云安全工具4 .1 用于云安全的解决方案通常，使用云服务提供商的本地工具和第三方解决方案的组织之间存在相对平均的比例。然而，有几个类别的云安全有明显的赢家。云服务提供商的解决方案是原生工具，用于 “身份和访问管理 ” (4 7 %),而第三方解决方案用于 “检测网络威胁 ”(4 6 %)和 “防止数据泄漏 ”(3 5 %)。需要注意的一个特别令人担忧的模式是，未使用数据防防丢失的组织所占比例 (1 3 %)远远高于其他任何类别。这将可能反映出这些类型的解决方案实施的难度。云服务提供商的本机工具第三方解决方案内部解决方案不适应无解决方案不确定身份和访问管理对合规性进行基准测试和监控检测运行时和 /或工作负载威胁和异常检测并修复错误配置检测网络威胁防止数据丢失或泄漏 2022 云安全联盟大中华区版权所有 1 54 .2 对云服务提供商安全解决方案的满意度平均而言，受访者对他们的主要公有云服务提供商的安全解决方案感到 “适度满意 ”在不同类别之间差异很小。平均满意度最高的领域，如 “ 身份和访问管理 ” ，仅略高于评分最低的 “ 防止数据丢失或泄露 ” 。4 .3 使用托管服务提供商大多数组织没有使用托管服务提供商 (MSP,5 9 %) 管理公有云环境下的安全性和合规性。但只有 3 1 %的人在使用 MSP。还需要注意的是，拥有 1 -5 0 名员工的小型企业 (7 2 %)比拥有 5 0 名或更多员工的组织 (5 7 %)更有可能不使用 MSP。5 .云安全状态管理5 .1 识别配置不当5 .1 .1 负责检测、跟踪和报告配置不当的团队负责检测、跟踪和报告云配置不当的主要团队通常是信息安全团队 (5 4 %)。 IT 运营是排在第二位的部门 (3 3 %)。身份和访问控制检测网络安全对合规性进行基准测试和监控检测运行时和 /或工作负载威胁和异常检测并修复服务错误配置防止数据丢失或泄漏较多信心较少信心不确定否是 2022 云安全联盟大中华区版权所有 1 6有趣的是，配置不当的来源通常是 DevOps团队，因此更有可能意识到已发生配置错误的人员不会被标识为负责检测、跟踪或报告云配置错误的团队。这突出了为了提高部门间的一致性和可见性，转向 DevSecOps方法，从而最终更快地检测和纠正错误配置的重要性。同样重要的是，确保组织拥有正确的工具，使整个组织中的所有这些部门都能发挥作用。特别是能够实现有效风险治理的工具，使组织能够更好地识别和管理风险及合规性。自动化也是快速识别和纠正错误配置的关键。这将要求组织将其架构转向云端。5 .1 .2 云配置不当的原因组织中配置不当的主要原因是 “缺乏云安全最佳实践方面的知识或技能 ”(6 2 %)。这并不令人惊讶，因为早些时候这被认为是一个主要的安全障碍。更令人惊讶的是，第二个选择最多的回答是 “缺乏安全可见性和监控 ” (4 9 %), 因为在之前的调查中，可见性没有被认为是解决安全问题的主要障碍。这可能表明组织没有优先解决可见性方面的挑战，因此，可见性是配置不当的主要原因。其他 IT 运营信息安全缺乏云安全最佳实践方面的知识或技能缺乏安全可见性和监控部署速度和投放市场时间受到限制默认账户和服务配置设置不合规的模板和自动化脚本其他 2022 云安全联盟大中华区版权所有 1 75 .1 .3 检测到配置不当的流水线交付阶段在流水线流程中检测到云配置不当的最常见阶段是 “测试 ”阶段 (3 6 %)和 “后期处理 ”阶段 (2 1 %)。这意味着大多数配置不当都是在部署之前检测到的 (6 7 %) ，至少在某些方面表明组织已经能够 “左移 ”。5 .1 .4 检测配置不当的时长组织检测云配置不当所需的时间长短差别很大。最常见的情况是会在一天内 (2 3 %)或者一周内 (2 2 %)。找到问题。然而，更令人担忧的是， 2 2 %的组织甚至需要超过一周的时间才能找到配置不当，更不用说解决配置不当了。还需要注意的是，报告部门间协调方针及其执行情况的组织更有可能在错误发生后的一天内检测到配置不当 (完全协调 -5 6 %，部分协调 -4 1 %，无协调 -3 1 %)。计划构建测试交付部署后期处理 2022 云安全联盟大中华区版权所有 1 85 .2 因配置不当造成的破坏和事件5 .2 .1 设计用于管理云配置不当的安全性和合规性标准大多数组织报告称，他们在过去的一年中没有经历过公有云安全事件或漏洞问题 (6 5 %)。大约 1 7 %的人表示他们经历过这样的事件，剩下 1 8 %的受访者表示不确定是否经历了相关问题。鉴于调查受访者的工作角色直接涉及其组织的云安全态势，出现如此高比例的受访者不确定是否发生了安全事件或漏洞问题，令人不禁有些担忧。 5 .2 .2 防止或修复云配置不当的障碍在经历过发生云安全事件或漏洞的 1 7 %的组织中，主动预防或解决问题的最常见障碍是 “ 缺乏安全可见性和监控能力 ” （ 6 8 %），其次是 “ 缺乏知识或专业技能 ”（ 5 9 %）。再一次说明，知识和可视化是主要障碍。不确定不是是缺乏安全可视化和监控能力缺乏专业知识或技能缺乏发生配置错误时的主动通知无法区分错误配置的优先级缺乏问责其他 2022 云安全联盟大中华区版权所有 1 95 .3 治理与合规5 .3 .1 设计用于管理云配置不当的安全性和合规性标准组织主要利用 “ 行业合规性标准 ”（ 6 9 %）、 “ 云服务提供商推荐基准 ”（ 5 5 %））和 “ 自定义方针和（或）标准 ”（ 4 5 %）。只有 9 %的组织报告说他们目前没有设计安全合规性标准。5 .3 .2 跨团队和组织执行标准安全性和合规性标准的执行水平因组织而异。报告 “ 在所有环境中完全实施 ” (2 3 %)、“ 仅在关键环境中完全实施 ” (2 6 %)和 “ 在所有环境中实施部分标准 ” (2 4 %)的组织数量大致相等。其中一点特别有趣，因为 7 0 % 的公司报告称，他们的安全方针及（或）其执行方面难以实现部门间协调。还应注意的是，与 “ 方针一致但执行不一致的组织 ” 1 7 %）和 “ 两者都不一致的组织 ”（ 7 %）相比，在跨部门的方针及其执行方面具有一致性的组织，更有可能报告 “ 在所有环境中完全执行 ” （占 4 4 %）。利用行业合规性标准利用云服务提供推荐基准创建自定义方针和（或）标准当前没有做 2022 云安全联盟大中华区版权所有 2 05 .3 .3 平衡安全性与项目交付接受调研的组织倾向于优先考虑风险缓解，即使这会导致产品交付速度有所延迟(4 1 %)。另有 2 9 % 的组织优先考虑交付速度