CSA 云安全风险、合规性和配置不当报告

© 2022 云安全联盟大中华区版权所有 1 @2022云安全联盟大中华区-保留所有权利。本文档发布在云安全联盟大中华区官网(http://www.c-csa.cn)，您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；(b) 本文内容不得篡改; (c)不得对本文进行转发散布; (d)不得删除文中商标、版权声明或其他声明；（e）引用本报告内容时，请注明来源于云安全联盟。 © 2022 云安全联盟大中华区版权所有 2 致谢本文档《云安全风险、合规性和配置不当报告》 (The State of Cloud Security Risk, Compliance, and Misconfigurations)由 CSA 工作组专家编写，CSA 大中华区秘书处组织翻译并审校。中文版翻译专家（排名不分先后）组长：李岩翻译组：林艺芳沈勇欧建军吴贺江澎王彪杨喜龙伏伟任江楠王永霞杨天识审校组：李岩郭鹏程姚凯感谢以下单位对本文档的支持与贡献：启明星辰信息技术集团股份有限公司北京天融信网络安全技术有限公司北京北森云计算股份有限公司腾讯云计算（北京）有限责任公司上海缔安科技股份有限公司英文版本编写专家主要作者：Hillary Baron 贡献者：Josh Buker Sean Heide 设计者：Stephen Lumpe Alex Kaluza Shamun Mahmud John Yeoh AnnMarie Ulskey 特别感谢:：Nikhil Girdhar Product Marketing Leader CloudHealth® by VMware Lauren van der Vaart Senior Content Marketing Specialist Multi-Cloud, VMware 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSA GCR秘书处给与雅正! 联系邮箱： [email protected]；国际云安全联盟CSA公众号。 © 2022 云安全联盟大中华区版权所有 3 目录致谢 ........................................................................ 3 1.调研的开展和方法论 ........................................................ 6 1.1研究目的 ............................................................... 6 2.概要 ...................................................................... 7 关键发现 1 ................................................................ 7 关键发现 2 ................................................................ 8 关键发现 3 ................................................................ 9 安全部门仍然在努力对齐安全方针及(或)方针落地 ............................ 9 部门间在安全方针和执行方面的一致性对主动安全至关重要 ................... 10 3.云安全程序的当前状态 ..................................................... 11 3.1使用共有云提供商 ...................................................... 11 3.2公有云的年度预算 ...................................................... 11 3.3对抗云安全漏洞的总体信心水平 .......................................... 12 3.4对防御云漏洞威胁的能力充满信心 ........................................ 12 3.5 解决安全问题的障碍 .....................................................13 3.6安全方针制订与落地执行的跨部门协作 .................................... 13 3.7度量安全性和合规性状况 ................................................ 14 4.正在使用的云安全工具 ..................................................... 14 4.1用于云安全的解决方案 .................................................. 14 4.2对云服务提供商安全解决方案的满意度 ..................................... 15 4.3使用托管服务提供商 .................................................... 15 5.云安全状态管理 ........................................................... 15 5.1识别配置不当 .......................................................... 15 5.1.1负责检测、跟踪和报告配置不当的团队 ................................. 15 5.1.2云配置不当的原因 .................................................. 16 5 . 1 . 3 检测到配置不当的流水线交付阶段 .............................. 17 5 . 2 因配置不当造成的破坏和事件 ...................................... 18 © 2022 云安全联盟大中华区版权所有 4 5.2.1设计用于管理云配置不当的安全性和合规性标准 ........................ 18 5.2.2 防止或修复云配置不当的障碍 .....................................18 5.3治理与合规 ............................................................ 19 5.3.1设计用于管理云配置不当的安全性和合规性标准 ......................... 19 5.3.2跨团队和组织执行标准 .............................................. 19 5.3.3平衡安全性与项目交付 .............................................. 20 5.4解决配置不当的解决方案 ................................................ 20 5.4.1负责纠正配置不当的小组 ...............................................20 5.4.2修复配置不当的流水线过程阶段 ...................................... 21 5.4.3修复配置不当的时间 .................................................. 21 5.4.4改进解决安全性或合规性配置不当的方法组织中最常见的方法 ............ 22 5.4.5使用自动修复的障碍 .................................................. 22 6.人口统计资料 ............................................................. 23 6.1组织行业 .............................................................. 23 6.2组织规模 .............................................................. 23 6.3工作等级 .............................................................. 23 6.4组织公有云支出 ........................................................ 24 6.5公司部门主要工作 ...................................................... 24 © 2022 云安全联盟大中华区版权所有 5 1.调研的开展和方法论云安全联盟（CSA）是一个非营利组织，其使命是广泛推广最佳实践，确保云计算和 IT技术中的网络安全。CSA还负责教育这些行业内的各种利益相关者(涉及所有其他形式计算中的安全问题)。CSA的成员是由从业者、公司和专业协会组成的广泛联盟。CSA的主要目标之一是开展调研评估信息安全趋势。这些调研有助于衡量信息安全技术在行业内各方面的成熟度，以及安全最佳实践的采用率。 VMware的CloudHealth®为了增加业界对公有云安全的了解，委托CSA开展一项调查并编写这份调查结果报告。CloudHealth为该项目提供资金，并与CSA一起参与制定针对云安全的调查问题，从而共同制定了该倡议。该调查由CSA于2021年5月至2021年6月在线进行，收到1090份来自不同组织规模和地点的IT和安全专业人士的答复。数据分析由CSA的研究团队进行。 1.1研究目的本调研的目的是评估组织在降低配置不当导致的公有云安全和合规风险方面的准备度