云安全系列 5：2023 年需要了解的 40 个云安全术语

云安全具有广泛而复杂的特点，它有许多特定的术语和首字母缩略词。我们在这里整理了一些云安全术语。将其用作指南，可帮助您了解云安全的细微差别并更便于学习相关内容。

Agent

代理是专门的软件包或应用程序，部署到设备或机器上以完成与安全相关的操作。

Agent-Based Security

基于代理的安全性在您的机器和设备上运行代理。部署后，代理会收集有关漏洞和其他安全漏洞的数据，并将其发送到服务端审查。基于代理的扫描非常适合网络连接不良的情况。

Agentless Security

无代理扫描是一种无需安装代理程序即可检查设备漏洞的方法，无需从服务器访问设备。

应用安全 (AppSec)

应用程序安全主要是为保护应用程序部署后而设置的系统和安全注意事项。目标是发现、修复和预防云安全问题。

攻击图

攻击图为安全团队提供相关信息，以保护他们的系统和网络基础设施免受网络攻击。它通常包含一系列路径，每条路径表示一系列漏洞利用或原子攻击。可用于模拟攻击者用来破坏网络的可能路径。

攻击路径

攻击路径，可视化的表示攻击者利用系统中的弱点所采用的路径。它包括相关风险和安全问题的整个上下文，以查看和解决潜在的弱点。

攻击路径分析

攻击路径分析使云所有者能够了解风险和资产，特别是那些受到黑客关注或有攻击危险的资产，以帮助减轻当前情况并预防未来发生攻击。攻击路径分析可以发现新的和未知的风险，而不是仅仅那些已知的风险。

攻击面

 攻击面是一个比攻击向量更广泛的术语，它描述了您的环境容易受到影响的所有潜在漏洞。它描述了攻击者可能能够访问的任何地方，包括已知、未知和潜在的威胁。

攻击向量

攻击向量是攻击者用来利用云环境中存在的安全漏洞来攻击的方法，目的是获得未经授权的访问、控制资源、访问漏洞或窃取有价值的数据。常见例子包括：窃取或访问敏感凭据、通过权限升级提升对受保护资源的访问权限、意外暴露在互联网上的网络配置错误以及资产加密不当。攻击者可以使用这些向量通过恶意代码或其他方法访问您的网络。

攻击向量分析

攻击向量分析分析您有哪些安全漏洞和攻击向量，以及攻击者如何利用这些来获得对您网络的未授权访问。

云服务提供商 (CSP)

CSP 是提供基于云的基础架构、应用程序和第三方存储服务。包括谷歌云平台、亚马逊云服务和微软 Azure、aliyun、腾讯云、华为云等。

云基础设施授权管理 (CIEM)

并非企业中的每个人都需要访问单一和多云环境。CIEM 帮助公司避免拥有过多特权用户的风险。

云原生应用保护平台（CNAPP）

CNAPP 是一个一体化平台，可简化对潜在云安全风险和漏洞的监控、检测和操作。它提供了在开发阶段扫描所有配置和工作负载并在运行时保护工作负载的能力。

云安全态势管理 (CSPM)

CSPM 是一组云安全工具和技术的名称，可帮助企业降低云风险。CSPM 帮助他们发现错误和不正确的配置，通过风险检测发现安全问题或不合规策略，然后在云服务受到攻击之前修复和修补问题。

云工作负载

云工作负载是可以在单个云资源上运行的特定应用程序或功能。例如数据库、虚拟机和容器等都是云工作负载。

云工作负载保护 (CWP)

CWP 是持续监控和消除来自云工作负载的威胁的过程。

云工作负载保护平台 (CWPP)

CWPP 检测并删除来自云环境的威胁。它使用基于签名的检测和异常行为来识别可疑活动。

工作负载扫描

工作负载扫描可帮助企业发现并修复其云部署中的安全威胁。

通用漏洞披露 (CVE)

CVE 是公开披露的计算机安全漏洞列表。这有助于用户和开发人员了解云环境及其配置背后的风险。但没有 CVE 并不一定意味着您 100% 安全。

容器安全

在云安全中，容器可用于运行小型和大型软件进程。每个容器都需要二进制代码、库、配置文件等。容器安全确保每个基于容器的系统或工作负载都受到保护，包括容器镜像、正在运行的容器和所有其他必需的操作。

持续集成和持续交付 (CI/CD)

DevOps 使用 CI 创建一种方式来构建代码以及打包和测试应用程序。然后，CD 自动将这些应用程序交付到生成环境。自动化可以让更改非常快速地发生，而不会在客户端造成停机或延迟。

DevSecOps

DevSecOps 代表开发、安全和运维。它扩大了安全和运维团队之间的协作，将安全团队纳入软件开发和交付的过程。 

目录遍历攻击

这是一个非常特殊的漏洞，允许攻击者读取服务器上的某些文件。

应用动态安全测试 (DAST)

DAST 是通过模拟攻击来评估 Web 应用程序安全级别。

云资源拓扑图

云资源拓扑图是您的云环境的地图。要创建云资源拓扑图，您需要构建一个明确的云资产关系表，说明资产之间所有可能的联系。云资源拓扑图应该是一个跨平台图，其中包含来自多云环境的资产。

身份访问管理 (IAM)

IAM 是一个框架，可确保企业中正确的用户能够访问必要的技术资源。它允许员工无需以管理员身份登录来管理应用程序，他可以远程维护或停止访问。

威胁指标 (IoC)

IoC 向安全专业人员和系统管理员提供有关主机系统或网络潜在入侵的取证证据。了解其中存在潜在的攻击有助于开发人员快速准确地进行补救。

基础设施即代码 (IaC)

IaC 是通过文本代码管理您的云基础设施的过程，取代手动和耗时的配置过程。借助 IaC，工程师和开发人员可以通过机器可读的自定义文件而不是物理硬件配置来管理计算机数据中心资源。

ISO 27001

ISO 27001 是唯一定义安全管理的国际标准。它旨在帮助企业避免云环境的安全威胁。

Kubernetes (K8s)

Kubernetes 是一种开源容器编排系统，可自动执行软件部署和管理。K8 最初由 Google 设计，但现在由 Cloud Native Computing Foundation 维护。

Kubernetes 安全态势管理 (KSPM)

KSPM 是跨 K8 集群自动化安全性和合规性所需的工具和实践。它通过不断扫描和验证以确保满足最佳实践。

最小特权访问 (LPA)

LPA 限制用户访问，特别是系统管理员。LPA 确保只有必要的管理员才能访问系统，并旨在将用户数量保持在非常低的水平。

Log4Shell/Log4J

Log4Shell 是 Log4J 中的一个软件漏洞，Log4J 是一种被大量企业软件、应用程序和云服务使用的开源日志记录实用程序。此漏洞非常危险，因为它被认为很容易被利用。

国家漏洞数据库 (NVD)

NVD 是美国政府颁布的漏洞信息库。这些非常有价值的数据可以实现漏洞管理、安全测量和自动化合规性检测。所有漏洞都分配有 CVE，方便云安全专业人员可以充分了解并为未来做好准备。

路径遍历攻击

当黑客获得对存储在 Web 根文件夹之外的文件和目录的访问权限时，就会发生这种攻击。

最小特权原则(PoLP)

PoLP 指出，用户应该只被授予完成任务所需的最低权限，提高安全性，减少责任，增加审计准备，并防止常见的攻击。

Remediation

Remediation 是解决云环境威胁的过程。

运行时保护

运行时保护是从正在运行的软件中检测和阻止攻击的过程。运行时应用自保护是一种运行在服务器上，在应用运行时启动，实时检测应用攻击的技术。

服务组织控制 2 (SOC 2)

服务组织的系统和组织控制 (SOC) 是由美国注册会计师协会 (AICPA) 创建的内部控制报告。 它们旨在检查服务组织提供的服务，以便最终用户可以评估和解决与外包服务相关的风险。

信任服务标准 (TSC)

SOC 2 信任服务标准 (TSC) 是一个用于实施和监控技术系统控制的框架，可确保您的应用程序能够保护客户数据并在他们需要时启动和运行。TSC 遵循以下原则：安全性、可用性、处理完整性、机密性和隐私。

总结

了解这些关键云安全术语有助于快速了解这个领域相关的内容，如果您对这里些术语有什么疑问或需要帮助，请告诉我们！

收藏好这个列表，您将在任何安全对话中更自信地使用这些术语。

关于 HummerRisk

HummerRisk 是开源的云原生安全平台，以非侵入的方式解决云原生的安全和治理问题。核心能力包括混合云的安全治理和 K8s 容器云安全检测。

​GitHub 地址：https://github.com/HummerRisk/HummerRisk

Gitee 地址：https://gitee.com/hummercloud/HummerRisk