《云环境下的金融服务现状》.pdf

目录 调查结果12 日益增长的云服务使用情况12 金融服务多云化是当前现状14 零信任为金融云访问增加完整性15 加强云的数据管理能力16 业务连续性对云端业务至关重要16 满足云端监管要求18 数据隐私、主权和本地化19 监管机构对云服务审计实践的理解20 CSA 云控制矩阵建立统一的云安全方法22 通过云硬件安全模块和机密计算加强密钥管理23 技能缺口在云安全领域仍然存在24 金融服务和云领域的机遇26 与新技术和 CSP 功能保持同步26 为金融服务行业提供充分保障的云安全28 人员：保持相关知识 （例如特定平台培训、微培训）28 流程：映射到FSI 框架，验证到STAR29 技术：云安全提供商借助安全技术的发展实现对金融服务业的有力支持29 企业和云风险管理30 云环境中仍需要威胁情报和上下文信息31 CSA 金融服务计划32 教育32 研究32 行业简报33 保障框架和计划33 结论34 © 2023 云安全联盟大中华区版权所有 9 摘要 近年来，金融服务业对云服务的使用大幅增长，预计其将伴随着使用和集成云服务提供商（CSP） 所提供的功能进一步增长，以替代传统的银行业、商业和其他金融交易方式以及交换金融数据 的方法。 本报告的目的是评估行业现状，并于与三年前行业初期CSA 类似的调查结果进行比对，来证实 金融服务业领导者正在进一步利用云服务来发现的当前问题和新的机遇。 在与本报告相关的访谈中，金融科技公司的首席信息安全官 （CISO）和云架构师表示，利用可扩展性和快速推向市场的能 力，将创新引入市场比以往的做法更划算。此外，银行业专业 人员表示，受新冠疫情的影响，利用云服务实现远程办公或快 速的动态更新、部署新的软件服务的主要原因是其能够提供符 合法规的一致部署协调的安全策略。 本报告中的监管是最具影响力的因素之一。尽管将越来越多的云计 算被用于托管受管控数据，但对于云服务提供商如何理解和确保其 遵守各国法律仍是值得深思的问题。 然而，新的方案伴随着新的风险， 受访者表示，尽管云服务的使用正 在不断增加，但其进展需要与CSP 和金融服务业展示其符合法 规、整体数据保护的能力以及员工对管理工作的舒适程度保持 相对一致。 本报告中除了监管之外的主题还包含数据管理的重要 性、访问的完整性、威胁情报和良好的企业风险管理。 本报告中最明显的一点是云服务正在不断深入金融服 务的各个方面并有望被长时间使用。云服务是否被采 用已不在是问题，而更多问题是 “如何”使用。如何 采取云原生安全策略，如何应用零信任方法，如何指 导员工、监管机构和云合作伙伴等所有相关合作方。 © 2023 云安全联盟大中华区版权所有 10 本报告中与CSA 共享的信息有助于明确未来的研究内容、标准要求、培训和指导等该社区可能 感兴趣的内容。在报告的最后，我们将分享一些建议，以供我们的金融服务业领导委员会考虑。 调查方法 本报告的调查方式是通过与2020 年《金融服务部门云使用情况调查报告》的调查结果进行对比， 来确认金融服务业对云服务的使用和准备情况。许多问题与最初由CSA 金融服务工作组最初的 问题相同，以进行公正的对标。