《云環(huán)境下的金融服務(wù)現(xiàn)狀》

?2023云安全聯(lián)盟大中華區(qū)版權(quán)所有?2023云安全聯(lián)盟大中華區(qū)版權(quán)所有CSA金融服務(wù)行業(yè)工作組官網(wǎng)地址是：/research/working-groups/financial-services/@2023云安全聯(lián)盟大中華區(qū)-保留所有權(quán)利。你可以在你的電腦上下載、儲存、展示、查看及打印，或者訪問云安全聯(lián)盟大中華區(qū)官網(wǎng)（）。須遵守以下：(a)本文只可作個人、信息獲取、非商業(yè)用途；(b)本文內(nèi)容不得篡改；(c)本文不得轉(zhuǎn)發(fā)；(d)該商標(biāo)、版權(quán)或其他聲明不得刪除。在遵循中華人民共和國著作權(quán)法相關(guān)條款情況下合理使用本文內(nèi)容，使用時請注明引用于云安全聯(lián)盟大中華區(qū)。?2023云安全聯(lián)盟大中華區(qū)版權(quán)所有?2023云安全聯(lián)盟大中華區(qū)版權(quán)所有報(bào)告支持單位機(jī)構(gòu)，為政府、金融、運(yùn)營商、能源、交通、科教文衛(wèi)、企業(yè)等各大行業(yè)用戶與各類型企業(yè)用戶提供全線網(wǎng)絡(luò)安全產(chǎn)品、全方位安全解決方案和外子公司和辦事處，深入開展全球業(yè)務(wù)，打造計(jì)算、分布式技術(shù)能力獲得行業(yè)最高評價(jià)，以科技創(chuàng)新?2023云安全聯(lián)盟大中華區(qū)版權(quán)所有英文版本編寫專家?2023云安全聯(lián)盟大中華區(qū)版權(quán)所有云計(jì)算技術(shù)的快速發(fā)展，如云原生、無服務(wù)器等概念層出不窮，催生了務(wù)日益增加的使用，與不斷增加的監(jiān)管要求和有限安全投入之本白皮書通過對金融行業(yè)企業(yè)的安全相關(guān)負(fù)責(zé)人調(diào)查，給和機(jī)遇，以及CSA后續(xù)的行動計(jì)劃。相信讀者會從中?2023云安全聯(lián)盟大中華區(qū)版權(quán)所有云安全聯(lián)盟（CSA）是一個非營利性組織，其宗旨在于廣泛推廣確保云計(jì)算和IT技術(shù)中的網(wǎng)絡(luò)安全最佳實(shí)踐。CSA同時也向業(yè)界相關(guān)成員提供對其他各類網(wǎng)絡(luò)安全問題的指導(dǎo)。CSA的成員包括安全從業(yè)人員、安全廠商及其他專業(yè)團(tuán)體。CSA的主要目標(biāo)之一是對信息安全趨勢進(jìn)行調(diào)保險(xiǎn)公司、金融監(jiān)管機(jī)構(gòu)、數(shù)據(jù)保護(hù)機(jī)構(gòu)和其他國家監(jiān)管長，其所帶來的挑戰(zhàn)與關(guān)注度也在同步上升。過去幾年中，CSA為了更好地了解金融業(yè)對云計(jì)算技術(shù)的現(xiàn)狀與挑戰(zhàn)，從而進(jìn)行了行業(yè)調(diào)研。今年研究的目標(biāo)是●從金融機(jī)構(gòu)的角度分析云解決方案的采用水平和需求，與2019-2020年進(jìn)行的調(diào)查進(jìn)●識別在保護(hù)金融數(shù)據(jù)及相關(guān)資產(chǎn)安全的云服務(wù)中創(chuàng)建指引的新機(jī)遇。?2023云安全聯(lián)盟大中華區(qū)版權(quán)所有 4 6 7 10 11 12 12 14 15 16 16 18 19 20 22 23 24 26 26 28 28 29技術(shù)：云安全提供商借助安全技術(shù)的發(fā)展實(shí)現(xiàn)對 2988 30 31 32 32 32 33 33 34 35?2023云安全聯(lián)盟大中華區(qū)版權(quán)所有所提供的功能進(jìn)一步增長，以替代傳統(tǒng)的銀行業(yè)、商業(yè)和其他金融交易方式以及交換本報(bào)告的目的是評估行業(yè)現(xiàn)狀，并于與三年金融服務(wù)業(yè)領(lǐng)導(dǎo)者正在進(jìn)一步利用云服務(wù)來發(fā)現(xiàn)在與本報(bào)告相關(guān)的訪談中，金融科技公司的首席信息安全官（CISO）和云架構(gòu)師表示，利用可擴(kuò)展性和快速推向市場的能速的動態(tài)更新、部署新的軟件服務(wù)的主要原因本報(bào)告中的監(jiān)管是最具影響力的因素之一。盡管將越來越多的云計(jì)算被用于托管受管控?cái)?shù)據(jù)，但對于云服務(wù)提供商如何理解和確保其本報(bào)告中除了監(jiān)管之外的主題還包含數(shù)據(jù)管理的重要本報(bào)告中最明顯的一點(diǎn)是云服務(wù)正在不斷深入金融服務(wù)的各個方面并有望被長時間使用。云服務(wù)是否被采用已不在是問題，而更多問題是“如何”使用。如何采取云原生安全策略，如何應(yīng)用零信任方法，如何指?2023云安全聯(lián)盟大中華區(qū)版權(quán)所調(diào)查方法同時，還包括了其他一些問題，以便更好地了解對云控制矩陣和STAR計(jì)劃的現(xiàn)狀，以及由金此外，我們還對首席信息安全官、首席風(fēng)險(xiǎn)官、金融服務(wù)內(nèi)部云架構(gòu)和數(shù)據(jù)治理的?2023云安全聯(lián)盟大中華區(qū)版權(quán)所調(diào)查結(jié)果日益增長的云服務(wù)使用情況討論了增長的原因，其中一部分是疫情導(dǎo)致新工作場景帶來新的發(fā)展需求，以適應(yīng)遠(yuǎn)目前，業(yè)界對于在業(yè)務(wù)關(guān)鍵中使用云計(jì)算工作負(fù)載的把調(diào)查結(jié)果顯示，當(dāng)被問及在生產(chǎn)中的“關(guān)鍵業(yè)務(wù)”工作負(fù)載占比時，約66%的服務(wù)提供商表示沒有關(guān)鍵業(yè)務(wù)在2023年的調(diào)查結(jié)果中有了顯著下降(我們之前的調(diào)查相比，在公共云中使用受監(jiān)管的工作負(fù)訪者表示他們的一些受監(jiān)管數(shù)據(jù)存儲在公共云中，前期調(diào)查比例為73%。同時，許多金融服務(wù)機(jī)構(gòu)采取了私有云和公共云混用的方式，并繼續(xù)進(jìn)行內(nèi)部部署操作。然而，也有公司認(rèn)識到許多服務(wù)提供商已經(jīng)將軟?2023云安全聯(lián)盟大中華區(qū)版權(quán)所么阻礙公司進(jìn)一步采用?2023云安全聯(lián)盟大中華區(qū)版權(quán)所依賴單一的云服務(wù)提供商，還是同時注冊使用多家云服務(wù)，是困擾企業(yè)的一個普遍業(yè)多云使用的目的表明，許多企業(yè)已經(jīng)認(rèn)識到云提供商多樣化的好處，例如可以降低供定的風(fēng)險(xiǎn)，確保云環(huán)境更具有靈活性和彈性。通過使用多家云服務(wù)，企業(yè)商的獨(dú)特功能和最佳功能，避免被某一單一供應(yīng)商綁定，從而優(yōu)化其云戰(zhàn)略，最大限度地提目前使用多家云服務(wù)來盡管政府監(jiān)管機(jī)構(gòu)要求支持多云服務(wù)使用以提高企業(yè)業(yè)務(wù)彈性，但受訪的企業(yè)首可視性、數(shù)據(jù)管理、安全策略等方面的復(fù)雜性導(dǎo)致了隨著跨云堆棧的第三方管理對于多云部署變得越來與上一份報(bào)告中的可見性不可見的受訪者數(shù)量意外一步評估顯示，這不僅僅是可見性的問題，而是在跨云環(huán)境中缺乏通知和變更上下有余地。云原生應(yīng)用保護(hù)平臺（CNAPP）和變更通知標(biāo)準(zhǔn)等解決方案的改進(jìn)將在這方面發(fā)揮主這種可見性的缺乏可能導(dǎo)致未知的安全和合規(guī)風(fēng)險(xiǎn)，例如無保障、無法證明行規(guī)符金融組織對查看或操作財(cái)務(wù)記錄的權(quán)限的完整性有多種期望。有幾個因素促成了這據(jù)丟失或損壞，如洗錢或盜竊。這也是調(diào)查中指出零信任是當(dāng)前首要任在云環(huán)境中，應(yīng)定期測試所有第三方訪問的繼承安全控制，以驗(yàn)證權(quán)限是否仍然相關(guān)。法有可能實(shí)現(xiàn)保護(hù)金融資產(chǎn)的業(yè)務(wù)和技術(shù)目標(biāo)，同時?2023云安全聯(lián)盟大中華區(qū)版權(quán)所對于金融服務(wù)業(yè)來說，數(shù)據(jù)的機(jī)密性以及了解數(shù)據(jù)的流向和路由方式至關(guān)重要。數(shù)據(jù)在傳輸和使用過程中都必須受到保護(hù)，以便確認(rèn)公司貨幣會計(jì)的合法性，并保護(hù)在該企業(yè)托金的所有消費(fèi)者。此外，還需要數(shù)據(jù)的可追溯性和清晰的審計(jì)跟蹤，隨時了解數(shù)據(jù)的移動護(hù)情況。幾位受訪者表示，在云端記錄財(cái)務(wù)數(shù)據(jù)的可擴(kuò)展性優(yōu)于許多本地部署方法然而，受訪者對數(shù)據(jù)暴露表示擔(dān)憂，這也導(dǎo)致對敏感數(shù)據(jù)遷移至公有云保持謹(jǐn)慎態(tài)度。通過使用零信任成熟度據(jù)管理安全性，同時應(yīng)用共享安全責(zé)任模型（SSRM）和專門針對云的控制措施（例如CSA云控制矩陣（CCM幫助建立與數(shù)據(jù)外泄、機(jī)密性和配置錯誤相關(guān)的透明性可用性對于保持業(yè)務(wù)連續(xù)性和確保機(jī)構(gòu)平穩(wěn)運(yùn)行至關(guān)重要。美國財(cái)政部在近期報(bào)告?2023云安全聯(lián)盟大中華區(qū)版權(quán)所與首席信息安全官們探討后發(fā)現(xiàn)（CISO）云端數(shù)據(jù)遷入和遷出成本存在不均衡性。將數(shù)據(jù)遷出 數(shù)據(jù)泄露、系統(tǒng)訪問權(quán)限丟失、系統(tǒng)破壞、持續(xù)對抗性此類攻擊會嚴(yán)重?cái)_亂運(yùn)營并導(dǎo)致聲譽(yù)受損，因此金融服務(wù)機(jī)構(gòu)必須制定有效的業(yè)務(wù)（BCP）和事件響應(yīng)計(jì)劃（IRP）戰(zhàn)略。企業(yè)組織需要投入強(qiáng)健的網(wǎng)絡(luò)空間安全措施，定期測試其備份和恢復(fù)計(jì)劃，降低宕機(jī)風(fēng)險(xiǎn)，確保系統(tǒng)始終可用。通過部署主動的安全防御持續(xù)的改進(jìn)，金融服務(wù)業(yè)可以自信地駕馭云環(huán)境，?2023云安全聯(lián)盟大中華區(qū)版權(quán)所滿足云端監(jiān)管要求金融服務(wù)機(jī)構(gòu)在其運(yùn)營或開展國際業(yè)務(wù)的所有司法管轄區(qū)都受到當(dāng)?shù)胤珊吐?lián)邦近年來，調(diào)查受訪者指出，監(jiān)管機(jī)構(gòu)對第三方（尤其是云服務(wù)提供商）的審查力度加大其提供文件并證明其符合各種標(biāo)準(zhǔn)框架，稱監(jiān)管機(jī)構(gòu)對第三方的關(guān)注能夠影響安全事件和新法規(guī)的出臺是引起這在合規(guī)數(shù)據(jù)方面仍然使用云計(jì)在云服務(wù)中存儲或處理受監(jiān)管參與調(diào)查的全球代表來自亞受訪者）以及美洲地區(qū)（52%在關(guān)注如何解決云環(huán)境中的雖然大多數(shù)金融服務(wù)機(jī)構(gòu)都在廣泛部署云受訪者表示他們將大部分受監(jiān)管的工作負(fù)載部署在公有云上在訪談中，受訪者認(rèn)為云服務(wù)提供商缺乏透明度、無法向?qū)徲?jì)人員證明合規(guī)性或擔(dān)心沒有足?2023云安全聯(lián)盟大中華區(qū)版權(quán)所在云中擁有大部分關(guān)鍵業(yè)務(wù)工作負(fù)載（50%或以上）的企業(yè)數(shù)量在短短三年內(nèi)幾乎翻了一番。87%的金融組織已將其關(guān)鍵業(yè)務(wù)工作負(fù)載轉(zhuǎn)移到云長到32%）的企業(yè)正在將一半以上的關(guān)鍵業(yè)務(wù)工作此外，預(yù)計(jì)在未來12個月近年來，世界各國政府已經(jīng)建立或考慮了有關(guān)數(shù)據(jù)主權(quán)和數(shù)據(jù)本地化的立法，這些立法限制金融服務(wù)實(shí)體可能擁有的個人金融或其他個人機(jī)構(gòu)及其客戶。此外，這可能會影響在這些國家托管或開展業(yè)務(wù)某些數(shù)據(jù)本地化法律要求首先將收集的個人信息存儲在國內(nèi)，然后再進(jìn)行跨境傳輸。規(guī)可能更為嚴(yán)格，防止外國系統(tǒng)存儲與該國公民相關(guān)的任何數(shù)據(jù)。在訪談中，首席信們建議內(nèi)部法律顧問定期監(jiān)控這些特定的變化，風(fēng)險(xiǎn)專業(yè)人員則要制定計(jì)劃，對可能本報(bào)告的一些受訪者表示，法律復(fù)雜程度越來越高，金融服務(wù)機(jī)構(gòu)和云服務(wù)提供商絡(luò)安全法案》（EU-CSA）和《通用數(shù)據(jù)保?2023云安全聯(lián)盟大中華區(qū)版權(quán)所公有云服務(wù)中所占的比是在報(bào)告中受監(jiān)管工作負(fù)載在11-50%之間的受訪者比例從15%增加到為0%的受訪者比例從受訪者對于識別的隱私和監(jiān)管阻礙的所有類別沒有明顯的區(qū)分。所有"阻礙因素"都被認(rèn)為在●與云服務(wù)提供商簽訂的與安全、風(fēng)險(xiǎn)或責(zé)任有關(guān)的合同問題；受訪者提到的幾個主題包括監(jiān)管機(jī)構(gòu)更好地理解?2023云安全聯(lián)盟大中華區(qū)版權(quán)所這與大多數(shù)受訪者提到的需要向多個云服務(wù)提供商提交多次?2023云安全聯(lián)盟大中華區(qū)版權(quán)所建立內(nèi)部云安全控制框架，并制定內(nèi)部云風(fēng)險(xiǎn)管理方法。然而，只有33%的企業(yè)將云服務(wù)風(fēng)險(xiǎn)評估完全納入了公司整體風(fēng)險(xiǎn)評估方法。身份與訪問管理（IAM）和零信任是新興的研究領(lǐng)域，可以幫助金融服務(wù)業(yè)消除對云安全的一些擔(dān)憂。通過采用這些最佳實(shí)踐，企業(yè)可最常引用的框架有NIST網(wǎng)絡(luò)安全框架(NISTCSF)、支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCIDSS)、ISO更一致地評估云服務(wù)提供商使用STAR被視為一種潛在的因?yàn)樗砻鞯谌焦?yīng)商進(jìn)行了適當(dāng)盡職調(diào)查。大多數(shù)?2023云安全聯(lián)盟大中華區(qū)版權(quán)所密鑰管理是維護(hù)數(shù)據(jù)安全性和完整性的關(guān)鍵環(huán)節(jié)，尤其是在金融服務(wù)行業(yè)。受監(jiān)管的關(guān)鍵數(shù)據(jù)集有嚴(yán)格的密鑰管理政策，以確保金融數(shù)據(jù)的機(jī)密性，并高度保證所使用的加密技最新調(diào)查顯示，僅有2%鑰管理政策是未定義或未公開的，低于2020年的12%。此外，所有關(guān)鍵數(shù)而這在2020年并非如此。針對關(guān)鍵數(shù)據(jù)、監(jiān)管數(shù)據(jù)、公開數(shù)據(jù)和非敏感數(shù)據(jù)的密鑰管理政在密鑰管理的政策立場方面，52%的企業(yè)將關(guān)鍵信息置于基于云的硬件安全模塊(HSM)，主密除了數(shù)據(jù)加密的技術(shù)解決方案外，受訪者還呼吁監(jiān)管機(jī)這些統(tǒng)計(jì)數(shù)據(jù)強(qiáng)調(diào)了密鑰管理和數(shù)據(jù)加密解決方案日益重要，以及采用云端服務(wù)強(qiáng)?2023云安全聯(lián)盟大中華區(qū)版權(quán)所技能缺口在云安全領(lǐng)域仍然存在金融服務(wù)機(jī)構(gòu)仍然面臨的一個普遍挑戰(zhàn)是云安管理和保護(hù)云環(huán)境專業(yè)竭力培訓(xùn)和聘用云安全50%的企業(yè)選擇聘請第三方顧問，57%的企業(yè)正在聘用更多的內(nèi)部云安全專業(yè)人員，52%的企業(yè)正在依靠自動化來解決這些問題。與2020年相比，如今有更多的企業(yè)直接引進(jìn)云安全專業(yè)人員（從40%增長），），?2023云安全聯(lián)盟大中華區(qū)版權(quán)所2023年調(diào)查探討了云環(huán)境中的云安全和合規(guī)性方面的專業(yè)知識水平。少數(shù)組織顯示其團(tuán)隊(duì)的知識水平較低（16%的稍多的組織顯示出較高的專業(yè)知識水平（23%68%的企業(yè)提供針對云的專門培訓(xùn)，在提供的云安全培訓(xùn)中，針對云安全提供商的培訓(xùn)最為常見（54%），?2023云安全聯(lián)盟大中華區(qū)版權(quán)所金融服務(wù)和云領(lǐng)域的機(jī)遇與新技術(shù)和CSP功能保持同步金融服務(wù)業(yè)在采用新技術(shù)創(chuàng)新和增強(qiáng)業(yè)務(wù)應(yīng)用時面臨著諸多挑戰(zhàn)。云技術(shù)向物聯(lián)網(wǎng)（IoT）和邊緣計(jì)算的擴(kuò)展為開展商業(yè)活動提供了更多的連接性、數(shù)據(jù)收集和互動，但也增加了安區(qū)塊鏈和保密計(jì)算技術(shù)滿足了保護(hù)敏感數(shù)據(jù)、確保交易安全和遵人工智能和大型語言模型（如的效率、洞察力和能力，但也要求謹(jǐn)慎處理客戶數(shù)據(jù)、提高量子計(jì)算在帶來技術(shù)優(yōu)勢的同時，也增加了應(yīng)對未來計(jì)算威脅的緊迫性。如前所述，目前依靠加密技術(shù)來保密金融信息的做法可能會立即受到挑戰(zhàn)，并要求以數(shù)字方式提供金融服務(wù)的方金融服務(wù)機(jī)構(gòu)必須審慎應(yīng)對這些挑戰(zhàn)，在創(chuàng)新和風(fēng)險(xiǎn)管理之間取得平衡，以充分發(fā)?2023云安全聯(lián)盟大中華區(qū)版權(quán)所其他高級安全技術(shù)可能涉及在金融服務(wù)行業(yè)中進(jìn)一步使用DevSecOps方法的使用實(shí)際上云安全聯(lián)盟進(jìn)一步分析認(rèn)為，將復(fù)雜的DevOps實(shí)踐與安全集成和自動化相結(jié)合的能力已經(jīng)用這些方法的重要性。云服務(wù)提供商的解決方案還必須專注于為這些團(tuán)隊(duì)提供簡單小的安全性和DevOps集成。（如發(fā)布和變更管理）也受到云服務(wù)利用中固有的現(xiàn)代技術(shù)和第三方方面的重大挑戰(zhàn)。特別是云共享安全責(zé)任模型的復(fù)雜性。CSP功能和技術(shù)的發(fā)展速度通常比金融服務(wù)客戶采用的速度更快。仍?2023云安全聯(lián)盟大中華區(qū)版權(quán)所為金融服務(wù)行業(yè)提供充分保障的云安全人們已經(jīng)認(rèn)識到行業(yè)認(rèn)證培訓(xùn)的重要性，特別是CCSP或CSP只有9%的受訪者認(rèn)為他們擁有高度強(qiáng)健的云安全計(jì)劃：?2023云安全聯(lián)盟大中華區(qū)版權(quán)所大多數(shù)受訪者似乎將云控制矩陣用于多種目的，但看到外部評估的衍生物或?qū)TAR計(jì)劃作為技術(shù)：云安全提供商借助安全技術(shù)的發(fā)展實(shí)現(xiàn)對金融服務(wù)業(yè)的有力支持在進(jìn)行的訪談中，一些金融服務(wù)機(jī)構(gòu)提到了云服務(wù)提供商有他們自己專門的團(tuán)隊(duì)，專門云服務(wù)提供商還與業(yè)界合作，開發(fā)實(shí)現(xiàn)機(jī)密性和密鑰管理的方法，進(jìn)行供商無法訪問受監(jiān)管的數(shù)據(jù)。這方面的示例包括安全隔離和諸如機(jī)密計(jì)算之類的機(jī)制托管云服務(wù)提供商訪問可讀格式的金融數(shù)據(jù)。另外，還包括使用HSM即服務(wù)，其中“信任根”?2023云安全聯(lián)盟大中華區(qū)版權(quán)所企業(yè)和云風(fēng)險(xiǎn)管理許多金融服務(wù)企業(yè)都有成熟的企業(yè)風(fēng)險(xiǎn)管理（ERM）計(jì)劃，可以解決企業(yè)面臨的許多不同類型的風(fēng)險(xiǎn)，包括金融市場、監(jiān)管和信息安全風(fēng)和風(fēng)險(xiǎn)接受程序。第三方和供應(yīng)鏈風(fēng)險(xiǎn)通常包盡管云服務(wù)越來越多地用于正式的云策略仍在開發(fā)中。2020年的調(diào)查結(jié)果反映了當(dāng)在過去兩年中，金融服務(wù)的數(shù)字化和云的采用已經(jīng)超過了云策略在大規(guī)模的數(shù)字化供應(yīng)鏈以及混合云和多云環(huán)境增加了傳統(tǒng)IT系統(tǒng)的復(fù)云風(fēng)險(xiǎn)評估整合到整體公司風(fēng)險(xiǎn)評估方法中，部分和完全整合的平衡金融服務(wù)對云的依賴為傳統(tǒng)方法增加了重要的、高度動態(tài)的因素，這往往需要專門?2023云安全聯(lián)盟大中華區(qū)版權(quán)所云環(huán)境中仍需要威脅情報(bào)和上下文信息人擔(dān)憂的是新漏洞被發(fā)現(xiàn)的速度以及云服務(wù)提供商所做的更改可能如何影響金融機(jī)正如某銀行的一位首席信息官在接受采訪時所說：“有過這雖然一些問題可能是對嚴(yán)重的零日威脅的必要應(yīng)對，但在這個例子中，本可以與我們更好地協(xié)調(diào)，以便我們的團(tuán)隊(duì)為變化做好準(zhǔn)備?！备匾?，并且應(yīng)更快地被公開討論，以便于受訪者提出的建議包括推進(jìn)專門針對行業(yè)威脅的全球安全數(shù)據(jù)庫，以及云漏經(jīng)匿名的調(diào)查結(jié)果中，許多受訪者表示，由于公司政策或其他原因，像披露金融服提及的其他對策還有某種漏洞標(biāo)記形式，如果識別到在特定行業(yè)（比如金融服務(wù)行?2023云安全聯(lián)盟大中華區(qū)版權(quán)所CSA金融服務(wù)計(jì)劃通過與行業(yè)利益相關(guān)者的交流，云安全聯(lián)盟確定了未為了保持對行業(yè)變化的相關(guān)觀點(diǎn)，云安全聯(lián)盟將邀請金融服務(wù)代表，云服務(wù)提供企業(yè)參加戰(zhàn)略領(lǐng)導(dǎo)委員會，該委員會將召開會