CSA 多云安全风险图谱（试读本）

h t i g c . 5 m o b u ©2021 云安全联盟大中华区-版权所有 1 m o c （试读本） . 5 h t i g b u ©2021 云安全联盟大中华区-版权所有 2 h t i g c . 5 m o b u @2021 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看、打印及，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下: （a）本文只可作个人、信息获取、非商业用途；(b) 本文内容不得篡改; (c)本文不得转发; (d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2021 云安全联盟大中华区-版权所有 3 致谢云安全联盟大中华区（简称：CSA GCR）多云安全工作组在 2021 年 3 月 31 日成立。我们主要针对多云环境下的安全问题，凝聚产、学、研、用等领域的专家或单位进行研究、分析、制定和输出云安全领域最先进的方法或工具，并持续迭代优化。我们的工作目标是致力于提供产业合作平台，凝聚行业共识，解决企业上云所面临的安全问题，促进云安全生态的健康发展，助力中国企业成功实现数字化转型。多云安全工作组的原则：布道、合作、共赢、引领。目前多云安全工作组的 50 多位安全专家们，分别来自华为、腾讯、中国工商银行、360、深信服、启明星辰、顺丰科技、海尔、天融 m o 信、山石网科、塞宝认证中心、神舟数码、H3C、光通天下、三未信安、蔷薇灵动、易安联、东软、申石软件、联软科技等数十家单位。这一数字正在不断增加。 c . 5 多云安全工作组的主要研究方向包括：SASE、云原生安全、多云安全风险、多云安全治理、多云安全与边缘计算、多云安全与自动化响应、多云安全与零信任等方向。 b u 本白皮书主要由多云安全风险图谱小组专家撰写，并邀请联盟安全专家共同审核，感谢以下专家的贡献： h t i g 多云安全工作组组长：魏小强白皮书作者名单：于继万、李程、彭汝张、杨天识、朱青、谢江、赵晨曦（以上排名不分先后）贡献单位：360、深信服、e 签宝、启明星辰、华为、新华三、上海观安（以上排名不分先后）审核专家：关于研究工作组的更多介绍，请在 CSA 大中华区官网（ https://ccsa.cn/research/）上查看。如本白皮书有不妥当之处，敬请读者联系 CSA GCR 秘书处给与雅正! 联系邮箱： [email protected]; 云安全联盟 CSA 公众号 ©2021 云安全联盟大中华区-版权所有 4 序言企业云转型正在迈向多云时代，据研究估计，93%的企业正在采用多云战略。随着数字化转型的不断深入和应对全球卫生危机带来的新挑战及其对业务流程的影响，企业比以往任何时候都更多地开启或扩大多云战略，来应对诸多的数字化挑战，如地区合规、成本优化、灾难恢复、数据备份、应用弹性、客户体验和全球覆盖等。多云系统可以比内部单一 IT 架构更好地满足这些要求，因为公司可以挑选最好的服务并将其与已有的 IT 基础设施进行融合，减少重复造轮子的成本，更加敏捷的推动业务的发展。 m o 但是，在多云环境下，数据、应用和平台可能分布在任何地方，包括分布在不同区域的公司内数据中心和多个云区间，以及同一区域的不同服务提供商 c . 5 的多云区间，安全挑战会成倍增加，如安全可见性、配置和集成风险、安全人才问题、多云迁移，以及还可能涉及的合规和数据安全隐私等问题。传统安全 b u 已经难以应对这些风险。多云的复杂环境的技术架构意味着企业的 CISO 们必须重新思考 ICT 安全的理念。如果不进行有效的安全管理和规划，多云环境可能 h t i g 是一个昂贵的努力，会导致事倍功半。想要在多云世界中取得成功，IT 和商业领袖需要解决这些挑战。在本报告中，CSA 大中华区多云安全工作组分析了典型的多云应用场景和所面临的安全风险，同时提出思考：如何适应多云的未来？如何解决多云安全所面临的安全风险？这将是工作组下一个要研究的课题。李雨航 Yale Li CSA 大中华区主席兼研究院院长 ©2021 云安全联盟大中华区-版权所有 5 目录 1. 摘要.................................................................................................................................... 7 2. 术语定义............................................................................................................................ 7 3. 多云环境典型场景............................................................................................................ 7 3.1. 本地负载的弹性扩展.................................................................................................7 3.2. 多云数据备份.............................................................................................................7 3.3. 多云主备容灾.............................................................................................................8 3.4. 构建跨国跨区域系统.................................................................................................8 m o 3.5. 多云数据分类存储.....................................................................................................8 3.6. 多云开发测试生产分离.............................................................................................8 c . 5 3.7. 多云异构融合.............................................................................................................9 3.8. 多云增强企业竞争力改善用户体验.........................................................................9 4. 多云安全风险.................................................................................................................... 9 b u 4.1. 多云安全人才不足.....................................................................................................9 4.2. 多云安全集成风险...................................................................................................10 h t i g 4.3. 多云安全缺乏可见性...............................................................................................10 4.4. 多云安全治理风险...................................................................................................11 4.5. 多云环境导致攻击面扩大.......................................................................................11 4.6. 多云迁移安全风险...................................................................................................12 4.7. 多云安全配置风险...................................................................................................13 4.8. 多云安全合规...........................................................................................................13 5. 结语.................................................................................................................................. 14 ©2021 云安全联盟大中华区-版权所有 6 1. 摘要多云战略已经成为企业实现数字化转型、增强自身竞争力和提升用户体验的优先选择。尤其是发生 COVID-19 公共卫生危机之后，这一趋势正在加速。本