云安全风险、合规性和配置不当报告

©2022云安全联盟大中华区版权所有1 ©2022云安全联盟大中华区版权所有2@2022云安全联盟大中华区-保留所有权利。本文档发布在云安全联盟大中华区官网(http://www.c-csa.cn)，您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；(b)本文内容不得篡改;(c)不得对本文进行转发散布;(d)不得删除文中商标、版权声明或其他声明；（e）引用本报告内容时，请注明来源于云安全联盟。 ©2022云安全联盟大中华区版权所有3致谢本文档《云安全风险、合规性和配置不当报告》(TheStateofCloudSecurityRisk,Compliance,andMisconfigurations)由CSA工作组专家编写，CSA大中华区秘书处组织翻译并审校。中文版翻译专家（排名不分先后）组长：李岩翻译组：林艺芳沈勇欧建军吴贺江澎王彪杨喜龙伏伟任江楠王永霞杨天识审校组：李岩郭鹏程姚凯感谢以下单位对本文档的支持与贡献：启明星辰信息技术集团股份有限公司北京天融信网络安全技术有限公司北京北森云计算股份有限公司腾讯云计算（北京）有限责任公司上海缔安科技股份有限公司英文版本编写专家主要作者：HillaryBaron贡献者：JoshBukerSeanHeideAlexKaluzaShamunMahmudJohnYeoh设计者：StephenLumpeAnnMarieUlskey特别感谢:：NikhilGirdharProductMarketingLeaderCloudHealth®byVMwareLaurenvanderVaartSeniorContentMarketingSpecialistMulti-Cloud,VMware在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱：research@c-csa.cn；国际云安全联盟CSA公众号。 ©2022云安全联盟大中华区版权所有4目录致谢........................................................................31.调研的开展和方法论........................................................61.1研究目的...............................................................62.概要......................................................................7关键发现1................................................................7关键发现2................................................................8关键发现3................................................................9安全部门仍然在努力对齐安全方针及(或)方针落地............................9部门间在安全方针和执行方面的一致性对主动安全至关重要...................103.云安全程序的当前状态.....................................................113.1使用共有云提供商......................................................113.2公有云的年度预算......................................................113.3对抗云安全漏洞的总体信心水平..........................................123.4对防御云漏洞威胁的能力充满信心........................................123.5解决安全问题的障碍.....................................................133.6安全方针制订与落地执行的跨部门协作....................................133.7度量安全性和合规性状况................................................144.正在使用的云安全工具.....................................................144.1用于云安全的解决方案..................................................144.2对云服务提供商安全解决方案的满意度.....................................154.3使用托管服务提供商....................................................155.云安全状态管理...........................................................155.1识别配置不当..........................................................155.1.1负责检测、跟踪和报告配置不当的团队.................................155.1.2云配置不当的原因..................................................165.1.3检测到配置不当的流水线交付阶段..............................175.2因配置不当造成的破坏和事件......................................18 ©2022云安全联盟大中华区版权所有55.2.1设计用于管理云配置不当的安全性和合规性标准........................185.2.2防止或修复云配置不当的障碍.....................................185.3治理与合规............................................................195.3.1设计用于管理云配置不当的安全性和合规性标准.........................195.3.2跨团队和组织执行标准..............................................195.3.3平衡安全性与项目交付..............................................205.4解决配置不当的解决方案................................................205.4.1负责纠正配置不当的小组...............................................205.4.2修复配置不当的流水线过程阶段......................................215.4.3修复配置不当的时间..................................................215.4.4改进解决安全性或合规性配置不当的方法组织中最常见的方法............225.4.5使用自动修复的障碍..................................................226.人口统计资料.............................................................236.1组织行业..............................................................236.2组织规模..............................................................236.3工作等级..............................................................236.4组织公有云支出........................................................246.5公司部门主要工作......................................................24 ©2022云安全联盟大中华区版权所有61.调研的开展和方法论云安全联盟（CSA）是一个非营利组织，其使命是广泛推广最佳实践，确保云计算和IT技术中的网络安全。CSA还负责教育这些行业内的各种利益相关者(涉及所有其他形式计算中的安全问题)。CSA的成员是由从业者、公司和专业协会组成的广泛联盟。CSA的主要目标之一是开展调研评估信息安全趋势。这些调研有助于衡量信息安全技术在行业内各方面的成熟度，以及安全最佳实践的采用率。VMware的CloudHealth®为了增加业界对公有云安全的了解，委托CSA开展一项调查并编写这份调查结果报告。CloudHealth为该项目提供资金，并与CSA一起参与制定针对云安全的调查问题，从而共同制定了该倡议。该调查由CSA于2021年5月至2021年6月在线进行，收到1090份来自不同组织规模和地点的IT和安全专业人士的答复。数据分析由CSA的研究团队进行。1.1研究目的本调研的目的是评估组织在降低配置不当导致的公有云安全和合规风险方面的准备度。主要研究课题包括：云安全计划的现状，包括最主要风险和安全工具的使用情况。组织在缓解配置不当导致的漏洞方面面临的云安全态势管理（CSPM）挑战。组织准备情况、成功关键绩效指标（KPI）以及负责云安全态势管理不同方面的团队。 ©2022云安全联盟大中华区版权所有72.概要云配置不当一直是使用公有云的企业最关心的问题。这种错误会导致数据泄露，允许删除或修改资源，导致服务中断，并对业务运营造成严重破坏。最近，由于配置不当导致的漏洞成为头条新闻，为了更好地了解云安全计划的现状、用于减轻安全风险的工具、企业的云安全态势以及企业在减少安全风险方面面临的障碍，我们进行了这项调研。关键发现1知识和专业技能匮乏不断困扰着安全团队知识和专业技能匮乏是信息安全行业内众所周知的问题。毫不奇怪，知识匮乏和专业技能被一致认定为:通用云安全的主要障碍(59%)配置不当的主要原因(62%)主动预防或修复配置不当的障碍(59%)实施自动补救的主要障碍(56%)这些发现突出了“知识匮乏”对安全团队可能产生的涓滴效应。它首先是实施有效的云安全措施的一般障碍，导致了错误的配置，这是数据泄露的主要原因。但它也阻碍了安全团队实施解决方案，如自动修复，这些解决方案可以补充知识和技能的不足。通用云安全的主要障碍配置不当的主要原因主动预防或修复配置不当的障碍实施自动补救的主要障碍 ©2022云安全联盟大中华区版权所有8关键发现2信息安全及IT运营团队对降低云配置不当风险承担责任每年都有由于配置不当而导致的数据泄密事件，涉事公司也因此上了新闻头条；因此很多公司都把配置不当风险当成首要关注点。很多公司没有处理好配置不当风险的可能原因之一就是，对潜在配置不当问题的发现、监控、及追踪，IT运营及信息安全团队承担主要责任(信息安全54%,IT运营33%)同样两团队对问题的修复也需要承担主要责任(信息安全36%,IT运营34%),公