CSI Matrix

Μοντέλα Cloud

Μοντέλα Cloud	Σκοπός χρήσης	Παράδειγμα προϊόντων	Τυπικές απειλές	Τυπικοί χρήστες	OWASP Cloud-Native Control
IaaS - Υποδομή ως υπηρεσία (Infrastructure as a Service)	Παρέχει εικονικούς υπολογιστικούς πόρους (διακομιστές, αποθήκευση, δικτύωση)	AWS EC2, Microsoft Azure VMs, Google Compute Engine	Λανθασμένες ρυθμίσεις VMs, μη ασφαλή APIs, παραβιάσεις δεδομένων, ανεπαρκείς έλεγχοι	Sysadmins, DevOps, IT Teams	C4: Μη ασφαλής Διαμόρφωση, C6: Λανθασμένοι Έλεγχοι Πρόσβασης, C1: Διαχείριση Ταυτότητας και Πρόσβασης
PaaS - Πλατφόρμα ως υπηρεσία (Platform as a Service)	Πλατφόρμα για την ανάπτυξη, εκτέλεση και διαχείριση εφαρμογών χωρίς διαχείριση υποδομών	Heroku, Google App Engine, Azure App Service	Μη ασφαλή περιβάλλοντα ανάπτυξης, ευάλωτες βιβλιοθήκες εκτέλεσης, μη εξουσιοδοτημένη πρόσβαση	Προγραμματιστές, μηχανικοί λογισμικού	C7: Μη ασφαλής Διαχείριση Φόρτου Εργασίας, C2: Μη ασφαλείς ΕI/ΕD Pipelines, C6: Λανθασμένοι Έλεγχοι Πρόσβασης
SaaS - Λογισμικό ως Υπηρεσία (Software as a Service)	Παρέχει εφαρμογές λογισμικού μέσω του διαδικτύου	Google Workspace, Microsoft 365, Salesforce	Διαρροή δεδομένων, ανεπαρκής έλεγχος ταυτότητας, έλλειψη ελέγχου δικαιωμάτων χρήσης δεδομένων, phishing	Τελικοί χρήστες, επιχειρηματικές ομάδες	C1: Διαχείριση Ταυτότητας και Πρόσβασης, C6: Λανθασμένοι Έλεγχοι Πρόσβασης, C9: Μη Ασφαλή Dependencies
FaaS - Λειτουργία ως Υπηρεσία (Function as a Service)	Εκτέλεση κώδικα με βάση το συμβάν χωρίς διαχείριση διακομιστή (Serverless computing)	AWS Lambda, Azure Functions, Google Cloud Functions	Μη ασφαλής εκτέλεση κώδικα, εισαγωγή γεγονότων (event injection), ανεπαρκής απομόνωση λειτουργιών, μη ασφαλείς Dependencies	Προγραμματιστές, Συστήματα βασισμένα σε γεγονότα (Event-Driven Systems)	C3: Αποτυχίες Διαχείρισης Απορρήτων, C7: Μη ασφαλής Διαχείριση Φόρτου Εργασίας, C9: Μη Ασφαλή Dependencies
CaaS - Container ως Υπηρεσία (Container as a Service)	Ορχήστρωση και διαχείριση κοντέινερ στο cloud	Google Kubernetes Engine, Azure Kubernetes Service, AWS Fargate	Διαφυγή από κοντέινερ (container escape), επισφαλείς εικόνες κοντέινερ (insecure container images), λανθασμένη παραμετροποίηση ορχήστρωσης, διαρροή μυστικών	DevOps, Cloud Architects	C4: Μη Ασφαλής Παραμετροποίηση, C3: Αποτυχίες Διαχείρισης Απορρήτων, C7: Μη ασφαλής Διαχείριση Φόρτου Εργασίας
BaaS - Backend ως Υπηρεσία (Backend as a Servic)	Έτοιμες backend υπηρεσίες (π.χ. αυθεντικοποίηση, βάση δεδομένων, αποθήκευση) για εφαρμογές	Firebase, AWS Amplify, Supabase	Έκθεση δεδομένων μέσω κακώς παραμετροποιημένων endpoints, μη ασφαλής ενσωμάτωση mobile client	Προγραμματιστές Web/Mobile Εφαρμογών	C4: Μη Ασφαλής Παραμετροποίηση, C1: Διαχείριση Ταυτοτήτων και Πρόσβασης, C8: Έλλειψη Παρατηρησιμότητας
DBaaS - Βάση Δεδομένων ως Υπηρεσία (Database as a Service)	Πλήρως διαχειριζόμενη παροχή, κλιμάκωση και δημιουργία αντιγράφων ασφαλείας βάσεων δεδομένων	Amazon RDS, MongoDB Atlas, Azure SQL Database	Μη εξουσιοδοτημένη πρόσβαση, SQL injection, μη ενημερωμένες μηχανές (unpatched engines), μη ασφαλή αντίγραφα ασφαλείας	Προγραμματιστές, Μηχανικοί Δεδομένων (Data Engineers)	C6: Λανθασμένοι Έλεγχοι Πρόσβασης, C4: Μη Ασφαλής Παραμετροποίηση, C9: Μη Ασφαλή Dependencies
DaaS - Desktop ως Υπηρεσία (Desktop as a Service)	Εικονικά desktops στο cloud με απομακρυσμένη πρόσβαση από οπουδήποτε	Amazon WorkSpaces, Citrix DaaS, Windows 365	Απαγωγή συνεδρίας (session hijacking), διαρροή δεδομένων μέσω clipboard/εκτύπωσης, αδύναμη ασφάλεια τερματικών συσκευών	Απομακρυσμένοι Εργαζόμενοι, Ομάδες IT	C1: Διαχείριση Ταυτοτήτων και Πρόσβασης, C6: Ελαττωματική Εξουσιοδότηση, C8: Έλλειψη Παρατηρησιμότητας
STaaS - Αποθήκευση ως Υπηρεσία (Storage as a Service)	Κλιμακούμενη αποθήκευση στο cloud κατ’ απαίτηση	Amazon S3, Google Cloud Storage, Azure Blob Storage	Μη ασφαλή buckets, τυχαία έκθεση δεδομένων, επιθέσεις ransomware, κακή διαχείριση πρόσβασης	Επιχειρήσεις, Πάροχοι Backup	C4: Μη Ασφαλής Παραμετροποίηση, C6: Λανθασμένοι Έλεγχοι Πρόσβασης, C1: Διαχείριση Ταυτοτήτων και Πρόσβασης
AIaaS - Τεχνητή Νοημοσύνη ως Υπηρεσία (AI as a Service)	Προεκπαιδευμένα μοντέλα AI/ML και εργαλεία ως υπηρεσία	Azure Cognitive Services, AWS SageMaker, Google Vertex AI	Μόλυνση/Δηλητηρίαση μοντέλου (model poisoning), παραπλανητικά δεδομένα εισόδου (adversarial input), παραβίαση απορρήτου δεδομένων, προκατάληψη (bias)	Data Scientists, Προγραμματιστές	C9: Μη Ασφαλή Dependencies, C5: Ευάλωτη Αλυσίδα Εφοδιασμού, C8: Έλλειψη Παρατηρησιμότητας
MLaaS - Μηχανική Μάθηση ως Υπηρεσία (Machine Learning as a Service)	Διαχειριζόμενα εργαλεία και υποδομές μηχανικής μάθησης	Amazon SageMaker, Google AI Platform, Azure Machine Learning	Διαρροή δεδομένων, κλοπή μοντέλων, μη ασφαλή δεδομένα εκπαίδευσης, κακή χρήση (misuse)	Μηχανικοί Μηχανικής Μάθησης, Ερευνητές	C9: Μη Ασφαλή Dependencies, C5: Ευάλωτη Αλυσίδα Εφοδιασμού, C3: Αποτυχίες Διαχείρισης Απορρήτων
SECaaS - Ασφάλεια ως Υπηρεσία (Security as a Service)	Υπηρεσίες κυβερνοασφάλειας μέσω cloud (π.χ. firewalls, antivirus, παρακολούθηση απειλών)	Cloudflare, Zscaler, Palo Alto Prisma Access	Υπερβολική εξάρτηση από τρίτους, λανθασμένες παραμετροποιήσεις, ψευδής αίσθηση ασφάλειας	Ομάδες Ασφαλείας, Επιχειρήσεις	C4: Μη Ασφαλής Παραμετροποίηση, C10: Ανεπαρκής Διακυβέρνηση, C8: Έλλειψη Παρατηρησιμότητας
NaaS - Δίκτυο ως Υπηρεσία (Network as a Service)	Δικτυακές υπηρεσίες κατ’ απαίτηση όπως VPN, bandwidth και δρομολόγηση	Megaport, Aryaka, AWS Cloud WAN	Υποκλοπή κίνησης (traffic interception), Παραποίηση DNS (DNS poisoning), μη ασφαλείς ρυθμίσεις VPN, επιθέσεις DDoS	Μηχανικοί Δικτύων, Επιχειρήσεις	C6: Λανθασμένοι Έλεγχοι Πρόσβασης, C4: Μη Ασφαλής Παραμετροποίηση, C8: Έλλειψη Παρατηρησιμότητας
IDaaS - Ταυτότητα ως Υπηρεσία (Identity as a Service)	Διαχείριση ταυτοτήτων και πρόσβασης μέσω cloud	Okta, Azure AD, Auth0	Κλοπή διαπιστευτηρίων, απαγωγή συνεδρίας (session hijacking), ανεπαρκές MFA	Ομάδες IT Ασφαλείας, Επιχειρήσεις	C1: Διαχείριση Ταυτοτήτων και Πρόσβασης, C6: Λανθασμένοι Έλεγχοι Πρόσβασης, C10: Ανεπαρκής Διακυβέρνηση
UCaaS - Ενοποιημένες Επικοινωνίες ως Υπηρεσία (Unified Communications as a Service)	Ενοποιημένα εργαλεία επικοινωνίας όπως VoIP, μηνύματα, βιντεοκλήσεις	Zoom, RingCentral, Microsoft Teams	Υποκλοπή συνομιλιών (eavesdropping), επιθέσεις τύπου MITM, μη κρυπτογραφημένα chats, phishing επιθέσεις	Επιχειρήσεις, Κέντρα Εξυπηρέτησης Πελατών (Call Centers)	C1: Διαχείριση Ταυτοτήτων και Πρόσβασης, C8: Έλλειψη Παρατηρησιμότητας, C6: Λανθασμένοι Έλεγχοι Πρόσβασης

Επιλογή

Μοντέλα Cloud

Σκοπός χρήσης

Παράδειγμα προϊόντων

Τυπικές απειλές

Τυπικοί χρήστες

OWASP Cloud-Native Control

IaaS - Υποδομή ως υπηρεσία (Infrastructure as a Service)

Παρέχει εικονικούς υπολογιστικούς πόρους (διακομιστές, αποθήκευση, δικτύωση)

AWS EC2, Microsoft Azure VMs, Google Compute Engine

Λανθασμένες ρυθμίσεις VMs, μη ασφαλή APIs, παραβιάσεις δεδομένων, ανεπαρκείς έλεγχοι

Sysadmins, DevOps, IT Teams

C4: Μη ασφαλής Διαμόρφωση, C6: Λανθασμένοι Έλεγχοι Πρόσβασης, C1: Διαχείριση Ταυτότητας και Πρόσβασης

PaaS - Πλατφόρμα ως υπηρεσία (Platform as a Service)

Πλατφόρμα για την ανάπτυξη, εκτέλεση και διαχείριση εφαρμογών χωρίς διαχείριση υποδομών

Heroku, Google App Engine, Azure App Service

Μη ασφαλή περιβάλλοντα ανάπτυξης, ευάλωτες βιβλιοθήκες εκτέλεσης, μη εξουσιοδοτημένη πρόσβαση

Προγραμματιστές, μηχανικοί λογισμικού

C7: Μη ασφαλής Διαχείριση Φόρτου Εργασίας, C2: Μη ασφαλείς ΕI/ΕD Pipelines, C6: Λανθασμένοι Έλεγχοι Πρόσβασης

SaaS - Λογισμικό ως Υπηρεσία (Software as a Service)

Παρέχει εφαρμογές λογισμικού μέσω του διαδικτύου

Google Workspace, Microsoft 365, Salesforce

Διαρροή δεδομένων, ανεπαρκής έλεγχος ταυτότητας, έλλειψη ελέγχου δικαιωμάτων χρήσης δεδομένων, phishing

Τελικοί χρήστες, επιχειρηματικές ομάδες

C1: Διαχείριση Ταυτότητας και Πρόσβασης, C6: Λανθασμένοι Έλεγχοι Πρόσβασης, C9: Μη Ασφαλή Dependencies

FaaS - Λειτουργία ως Υπηρεσία (Function as a Service)

Εκτέλεση κώδικα με βάση το συμβάν χωρίς διαχείριση διακομιστή (Serverless computing)

AWS Lambda, Azure Functions, Google Cloud Functions

Μη ασφαλής εκτέλεση κώδικα, εισαγωγή γεγονότων (event injection), ανεπαρκής απομόνωση λειτουργιών, μη ασφαλείς Dependencies

Προγραμματιστές, Συστήματα βασισμένα σε γεγονότα (Event-Driven Systems)

C3: Αποτυχίες Διαχείρισης Απορρήτων, C7: Μη ασφαλής Διαχείριση Φόρτου Εργασίας, C9: Μη Ασφαλή Dependencies

CaaS - Container ως Υπηρεσία (Container as a Service)

Ορχήστρωση και διαχείριση κοντέινερ στο cloud

Google Kubernetes Engine, Azure Kubernetes Service, AWS Fargate

Διαφυγή από κοντέινερ (container escape), επισφαλείς εικόνες κοντέινερ (insecure container images), λανθασμένη παραμετροποίηση ορχήστρωσης, διαρροή μυστικών

DevOps, Cloud Architects

C4: Μη Ασφαλής Παραμετροποίηση, C3: Αποτυχίες Διαχείρισης Απορρήτων, C7: Μη ασφαλής Διαχείριση Φόρτου Εργασίας

BaaS - Backend ως Υπηρεσία (Backend as a Servic)

Έτοιμες backend υπηρεσίες (π.χ. αυθεντικοποίηση, βάση δεδομένων, αποθήκευση) για εφαρμογές

Firebase, AWS Amplify, Supabase

Έκθεση δεδομένων μέσω κακώς παραμετροποιημένων endpoints, μη ασφαλής ενσωμάτωση mobile client

Προγραμματιστές Web/Mobile Εφαρμογών

C4: Μη Ασφαλής Παραμετροποίηση, C1: Διαχείριση Ταυτοτήτων και Πρόσβασης, C8: Έλλειψη Παρατηρησιμότητας

DBaaS - Βάση Δεδομένων ως Υπηρεσία (Database as a Service)

Πλήρως διαχειριζόμενη παροχή, κλιμάκωση και δημιουργία αντιγράφων ασφαλείας βάσεων δεδομένων

Amazon RDS, MongoDB Atlas, Azure SQL Database

Μη εξουσιοδοτημένη πρόσβαση, SQL injection, μη ενημερωμένες μηχανές (unpatched engines), μη ασφαλή αντίγραφα ασφαλείας

Προγραμματιστές, Μηχανικοί Δεδομένων (Data Engineers)

C6: Λανθασμένοι Έλεγχοι Πρόσβασης, C4: Μη Ασφαλής Παραμετροποίηση, C9: Μη Ασφαλή Dependencies

DaaS - Desktop ως Υπηρεσία (Desktop as a Service)

Εικονικά desktops στο cloud με απομακρυσμένη πρόσβαση από οπουδήποτε

Amazon WorkSpaces, Citrix DaaS, Windows 365

Απαγωγή συνεδρίας (session hijacking), διαρροή δεδομένων μέσω clipboard/εκτύπωσης, αδύναμη ασφάλεια τερματικών συσκευών

Απομακρυσμένοι Εργαζόμενοι, Ομάδες IT

C1: Διαχείριση Ταυτοτήτων και Πρόσβασης, C6: Ελαττωματική Εξουσιοδότηση, C8: Έλλειψη Παρατηρησιμότητας

STaaS - Αποθήκευση ως Υπηρεσία (Storage as a Service)

Κλιμακούμενη αποθήκευση στο cloud κατ’ απαίτηση

Amazon S3, Google Cloud Storage, Azure Blob Storage

Μη ασφαλή buckets, τυχαία έκθεση δεδομένων, επιθέσεις ransomware, κακή διαχείριση πρόσβασης

Επιχειρήσεις, Πάροχοι Backup

C4: Μη Ασφαλής Παραμετροποίηση, C6: Λανθασμένοι Έλεγχοι Πρόσβασης, C1: Διαχείριση Ταυτοτήτων και Πρόσβασης

AIaaS - Τεχνητή Νοημοσύνη ως Υπηρεσία (AI as a Service)

Προεκπαιδευμένα μοντέλα AI/ML και εργαλεία ως υπηρεσία

Azure Cognitive Services, AWS SageMaker, Google Vertex AI

Μόλυνση/Δηλητηρίαση μοντέλου (model poisoning), παραπλανητικά δεδομένα εισόδου (adversarial input), παραβίαση απορρήτου δεδομένων, προκατάληψη (bias)

Data Scientists, Προγραμματιστές

C9: Μη Ασφαλή Dependencies, C5: Ευάλωτη Αλυσίδα Εφοδιασμού, C8: Έλλειψη Παρατηρησιμότητας

MLaaS - Μηχανική Μάθηση ως Υπηρεσία (Machine Learning as a Service)

Διαχειριζόμενα εργαλεία και υποδομές μηχανικής μάθησης

Amazon SageMaker, Google AI Platform, Azure Machine Learning

Διαρροή δεδομένων, κλοπή μοντέλων, μη ασφαλή δεδομένα εκπαίδευσης, κακή χρήση (misuse)

Μηχανικοί Μηχανικής Μάθησης, Ερευνητές

C9: Μη Ασφαλή Dependencies, C5: Ευάλωτη Αλυσίδα Εφοδιασμού, C3: Αποτυχίες Διαχείρισης Απορρήτων

SECaaS - Ασφάλεια ως Υπηρεσία (Security as a Service)

Υπηρεσίες κυβερνοασφάλειας μέσω cloud (π.χ. firewalls, antivirus, παρακολούθηση απειλών)

Cloudflare, Zscaler, Palo Alto Prisma Access

Υπερβολική εξάρτηση από τρίτους, λανθασμένες παραμετροποιήσεις, ψευδής αίσθηση ασφάλειας

Ομάδες Ασφαλείας, Επιχειρήσεις

C4: Μη Ασφαλής Παραμετροποίηση, C10: Ανεπαρκής Διακυβέρνηση, C8: Έλλειψη Παρατηρησιμότητας

NaaS - Δίκτυο ως Υπηρεσία (Network as a Service)

Δικτυακές υπηρεσίες κατ’ απαίτηση όπως VPN, bandwidth και δρομολόγηση

Megaport, Aryaka, AWS Cloud WAN

Υποκλοπή κίνησης (traffic interception), Παραποίηση DNS (DNS poisoning), μη ασφαλείς ρυθμίσεις VPN, επιθέσεις DDoS

Μηχανικοί Δικτύων, Επιχειρήσεις

C6: Λανθασμένοι Έλεγχοι Πρόσβασης, C4: Μη Ασφαλής Παραμετροποίηση, C8: Έλλειψη Παρατηρησιμότητας

IDaaS - Ταυτότητα ως Υπηρεσία (Identity as a Service)

Διαχείριση ταυτοτήτων και πρόσβασης μέσω cloud

Okta, Azure AD, Auth0

Κλοπή διαπιστευτηρίων, απαγωγή συνεδρίας (session hijacking), ανεπαρκές MFA

Ομάδες IT Ασφαλείας, Επιχειρήσεις

C1: Διαχείριση Ταυτοτήτων και Πρόσβασης, C6: Λανθασμένοι Έλεγχοι Πρόσβασης, C10: Ανεπαρκής Διακυβέρνηση

UCaaS - Ενοποιημένες Επικοινωνίες ως Υπηρεσία (Unified Communications as a Service)

Ενοποιημένα εργαλεία επικοινωνίας όπως VoIP, μηνύματα, βιντεοκλήσεις

Zoom, RingCentral, Microsoft Teams

Υποκλοπή συνομιλιών (eavesdropping), επιθέσεις τύπου MITM, μη κρυπτογραφημένα chats, phishing επιθέσεις

Επιχειρήσεις, Κέντρα Εξυπηρέτησης Πελατών (Call Centers)

C1: Διαχείριση Ταυτοτήτων και Πρόσβασης, C8: Έλλειψη Παρατηρησιμότητας, C6: Λανθασμένοι Έλεγχοι Πρόσβασης

Εκτίμηση κινδύνου

Αναγνωριστικό	Έλεγχος OWASP	Επιλεγμένα Μοντέλα Υπολογιστικού Νέφους	Παραδείγματα	Πιθανότητα	Επίπτωση	Αξία Κινδύνου	Τρωτά Σημεία	Μετριασμός	Κόστος Υλοποίησης	Κόστος Συντήρησης	Σχόλια