云计算的11类顶级威胁

云计算的11类顶级威胁 @2022云安全联盟大中华区-保留所有权利。本文档发布在云安全联盟大中华区官网(http://www.c-csa.cn)，您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；(b)本文内容不得篡改;(c)不得对本文进行转发散布;(d)不得删除文中商标、版权声明或其他声明；（e）引用本报告内容时，请注明来源于云安全联盟。 关于赞助商：新华三集团在安全领域拥有近二十年的经验积累，率先提出"主动安全"理念与技术框架，引领业界从被动防御向主动安全的理念转变。新华三拥有1200多项安全领域专利技术，近40大类超500款专业安全产品，覆盖边界安全、云安全、工控安全、数据安全、5G安全和等级保护等细分领域，具备业界最全面的安全产品和解决方案付能力，可为用户提供可信、可控的全系列网络安全产品及完整的“云-网-边-端”一体化安全解决方案。新华三是CSA大中华区的理事单位，支持该报告内容的翻译，但不影响CSA研究内容的开发权和编辑权。 序言随着数字经济时代的来临，云计算、大数据、5G和人工智能技术蓬勃发展，我们迎来新一轮的科技革命和产业变革。数字技术已经成为企业转型和发展的关键要素，而云是企业数字化转型的基础支柱，也是企业的首要技术重点。我国在十四五规划中，将云计算作为数字经济重点产品之首，加快数字化发展，建设数字中国，实施“上云用数赋智”行动，推动数据赋能全产业链协同转型。在数字化转型不断加深的大背景下，越来越多的企业正在将数据和应用程序迁移到云中。云上安全问题也更加广泛和突出。IDC调研显示，云计算所面临的挑战中，安全问题排在首位。2022年RSA大会上，云安全已经成了创新沙盒最热门赛道。历年的《云计算顶级威胁》给出了企业在使用云计算服务时面临的11类顶级威胁，并对每类威胁问题进行了分析。11类顶级威胁突出反映了当前云计算使用过程中最重要的几类云安全问题：身份和访问管理、API安全、错误配置和变更控制、以及缺乏云安全架构和策略。基于2022年威胁的排名可以发现，身份管控、API安全在云安全中的重要性明显上升，同时，云配置和变更控制依然占据很重要的位置，第三方资源（源代码、SaaS产品和API风险）的安全则是供应链安全主要关注的风险。云原生技术架构使得云计算具有了弹性、敏捷、资源池和服务化等特征，容器化和无服务器负载显著提高了云计算应用的敏捷性，但同时也带来了新的安全要求和挑战。无服务器和容器化工作负载的错误配置和利用，可能导致系统中断、数据泄露、数据丢失、以及攻击发生。未来，云计算市场依然持续高速增长，根据IDC数据，预计2020-2025年中国云计算复合增长率达到26.3%，安全性会是企业上云、用云首要、长期关注的内容。云计算架构的不断发展使得多云、边缘云、分布式云成为了新的发展趋势，同时，云原生技术及开发流程进一步普及，容器、无服务器架构、云原生应用程序开发流程、API等会成为越来越广泛的应用。攻击日新月异，我们也无惧挑战，云安全在向着多云安全、零信任、数据安全、云原生安全等技术发展趋势不断深入，风险面对，责任共担，大家共同携手促进云安全技术及产业生态的完善建设，护航行业数字化上云之路，开拓数字化新时代。李雨航YaleLiCSA大中华区主席兼研究院院长 ©2022云安全联盟大中华区版权所有5目录序言............................................................................................................................................4概要............................................................................................................................................6调查............................................................................................................................................7威胁1:身份、凭据，访问和密钥管理、特权账号管理的不足.........................................9威胁2:不安全的接口和API..................................................................................................14威胁3:配置不当和变更控制的不足...................................................................................17威胁4:缺乏云安全架构和战略...........................................................................................21威胁5:不安全的软件开发...................................................................................................24威胁6:不安全的第三方资源...............................................................................................27威胁7:系统漏洞...................................................................................................................31威胁8:云计算数据的意外泄露...........................................................................................35威胁9:无服务器和容器化工作负载的配置不当和利用...................................................38威胁10:有组织的犯罪、黑客和APT攻击...........................................................................42威胁11:云存储数据泄露.......................................................................................................45结论..........................................................................................................................................49 ©2022云安全联盟大中华区版权所有6概要顶级威胁报告一贯旨在提高对云威胁、漏洞和风险的认识。我们在撰写本报告前，调查了700多位业界专家并探讨了云行业的安全问题。今年，受访者评估了云环境中的11个重要安全威胁。顶级威胁工作组结合调查结果和专业知识编写了2022年度《云计算的11类顶级威胁》报告。最新报告按调查结果重要程度着重介绍了前11类威胁（括号中的是2019年调查的排名）：1.身份、凭据，访问和密钥管理、特权账号管理的不足(4)2.不安全的接口和API(7)3.配置不当和变更控制的不足(2)4.缺乏云安全架构和战略(3)5.不安全的软件开发6.不安全的第三方资源7.系统漏洞(8)8.云计算数据的意外泄露9.无服务器和容器化工作负载的配置不当和利用10.有组织的犯罪、黑客和APT攻击(11)11.云存储数据泄漏观察和依据2019新冠病毒大流行和随后的封锁重新定义了工作场所，居家办公不再是一种员工乐于接受的弹性工作方式，而是企业持续经营的必要条件。云工作负载、供应链以及边缘计算、物联网（IoT）、运营技术（OT）和区块链等新技术的流行和复杂性改变了云安全格局。软件定义边界（SDP）和零信任架构（ZTA）等新概念改变了我们对资源访问的看法。我们在分析了调查的所有反馈之后，注意到在云服务提供商（CSP）的努力下，传统云安全问题的排名持续下降。2019年度《云计算的11类顶级威胁》（EE）中描述的拒绝服务、共享技术漏洞、CSP数据丢失和系统漏洞之类问题的排名现在非常低，已不在 ©2022云安全联盟大中华区版权所有7本报告之列。这表明，人们明显加大了对云的信任；基础设施即服务（IaaS）环境中的老式云安全问题似乎不那么令人担忧。此外，我们发现数据泄露不再是首要的云安全问题。调查中评分较高的调查项目指出云用户是薄弱环节。受访者不再关注元结构（EE中排名为9）、控制平面薄弱（EE中排名为8）或云使用可见性（EE中排名为10）是否会成为云部署中的问题。从2016年的顶级威胁（TreacherousTwelve）到2019年的顶级威胁（EE），再到今年的调查评估获得的顶级威胁，关注点不断变化。今年的顶级威胁突显了用户直接控制相关的安全问题：身份和访问管理、加密、配置管理、不良的编码习惯以及对战略云方向的忽视。敏捷项目管理和DevOps项目的上升使终端软件团队直面这些复杂的组合性问题。表现优异的云企业将是那些强调变革管理、增加员工交叉培训、嵌入团队安全拥护者以及在文化上做到安全与合规的公司。新冠封锁的要求结束之后，云继续蓬勃发展，并成为每天的期望。本报告通过调查分析这十一种威胁、风险和漏洞，为云方向未来的成功助力。目标读者云和安全从业者和爱好者可以从本报告受益，了解云安全威胁和挑战的最新情况、对行业的影响，以及个人或行业可以采取的改进措施。最后，这项基于调查的研究也为合规、风险、技术人员和管理层提供了当前的技术趋势和高优先级云安全问题。调查在撰写2022年度《云计算的11类顶级威胁》报告时，CSA顶级威胁工作组的研究包含两个阶段。这两个阶段都调查收集了网络安全专业人员对云计算最相关的威胁、漏洞和风险安全问题的想法和意见，最终确定了2022年度的顶级威胁。在第一个研究阶段，该小组的目标是通过对工作组成员的调查，创建一个云安全问题候选清单。工作组从一个包含26个安全问题的清单入手（2019年EE报告中的11个问题，以及通过讨论增加的15个新问题）。工作组通过一系列的会议对26个问题进行了讨论， ©2022云安全联盟大中华区版权所有8并要求成员们说明每个问题对其组织的重要性以及他们对自己熟悉的组织的了解。在这个研究阶段，工作组成员们也可以提出这26个问题之外的其他问题。综合以前调研结果和其他相关信息，工作组标定了19个最突出的云安全问题。在第二个研究阶段，工作的主要目标是通过对非工作组安全专业人员进行在线调查，按照重要性对上阶段列出的19个问题排名。调查对每个问题的重要性评估，满分为10分。调研对象按照“1至10分”对云安全问题评级打分，1分代表非常不重要，10分代表非常重要。对每个问题的得分计算平均值并行排序。排除所有低于7分的安全问题，最终得出了如下11类顶级威胁：工作组在确定了11类顶级威胁后，分析了每类威胁问题，描述具体威胁问题，指出了CSP或云客户是否共同承担安全责任，并定义了问题在云堆栈以及云服务模型（SaaS、PaaS、IaaS或SPI）中可能出现的位置。业务影响、关键信息、案例展示了每类威