CSI Mátrix

Felhő modellek

Felhő modellek	Cél / Felhasználás	Példatermékek	Tipikus fenyegetések	Tipikus felhasználók	OWASP kontroll
IaaS - Infrastruktúra, mint szolgáltatás	Virtualizált számítási erőforrásokat biztosít (szervereket, tárhelyet, hálózatot).	AWS EC2, Microsoft Azure VMs, Google Compute Engine	Helytelenül konfigurált virtuális gépek, nem biztonságos API-k, adatszivárgások, elégtelen hozzáférés-ellenőrzés	Rendszergazdák, DevOps, IT-csapatok	C4: Nem biztonságos konfiguráció, C6: Hibás hozzáférés-vezérlés, C1: Identitás- és hozzáféréskezelés
PaaS - Platform, mint szolgáltatás	Platform alkalmazások fejlesztésére, futtatására és kezelésére anélkül, hogy az infrastruktúrát menedzselni kellene.	Heroku, Google App Engine, Azure App Service	Nem biztonságos fejlesztési környezetek, sebezhető futtatási könyvtárak, jogosulatlan hozzáférés.	Fejlesztők, szoftvermérnökök	C7: Nem biztonságos munkaterhelés-kezelés, C2: Nem biztonságos CI/CD-folyamatok, C6: Hibás hozzáférés-vezérlés
SaaS - Szoftver, mint szolgáltatás	Szoftveralkalmazásokat nyújt az interneten keresztül.	Google Workspace, Microsoft 365, Salesforce	Adatszivárgás, gyenge hitelesítés, az adatgazda feletti kontroll hiánya, adathalászat.	Végfelhasználók, üzleti csapatok	C1: Identitás- és hozzáférés-kezelés, C6: Hibás hozzáférés-vezérlés, C9: Nem biztonságos függőségek
FaaS - Funkció, mint szolgáltatás	Eseményvezérelt kódfuttatás szerverkezelés nélkül (szerver nélküli működés).	AWS Lambda, Azure Functions, Google Cloud Functions	Nem biztonságos kódfuttatás, eseménybefecskendezés, hiányos funkcióizoláció, nem biztonságos függőségek.0	Fejlesztők, eseményvezérelt rendszerek	C3: Titokkezelés, C7: Nem biztonságos munkafolyamat-kezelés, C9: Függőségek
CaaS - Konténer, mint szolgáltatás	Konténerek irányítása és kezelése	Google Kubernetes Engine, Azure Kubernetes Service, AWS Fargate	Konténer escape, nem biztonságos képek, rosszul konfigurált koordináció, titkok kiszivárgása	DevOps, Cloud Architects	C4: Nem biztonságos konfiguráció, C3: Titokkezelés, C7: Nem biztonságos munkafolyamat-kezelés
BaaS - Háttér, mint szolgáltatás	Kész háttérszolgáltatások (pl. hitelesítés, adatbázis, tárhely) alkalmazásokhoz.	Firebase, AWS Amplify, Supabase	Adatok kiszivárgása hibásan konfigurált végpontokon keresztül, nem biztonságos mobil kliensintegráció.	Web-/mobilalkalmazás-fejlesztők	C4: Nem biztonságos konfiguráció, C1: Identitás- és hozzáférés-kezelés, C8: Megfigyelhetőség hiánya
DBaaS - Adatbázis, mint szolgáltatás	Teljes körű adatbázis-ellátás, skálázás és biztonsági mentések	Amazon RDS, MongoDB Atlas, Azure SQL Database	Jogosulatlan hozzáférés, SQL-behatolás, nem frissített motorok, nem biztonságos biztonsági mentések	Fejlesztők, adatrmérnökök	C6: Hibás hozzáférés-vezérlés, C4: Nem biztonságos konfiguráció, C9: Függőségek
DaaS - Eszköz, mint szolgáltatás	Felhőalapú virtuális munkaasztalok, amelyek bárhonnan elérhetők	Amazon WorkSpaces, Citrix DaaS, Windows 365	Munkamenet-eltérítés, adatszivárgás a vágólapon vagy nyomtatáson keresztül, gyenge végponti biztonság.	Távoli munkavállalók, IT csapatok	C1: Identitás- és hozzáférés-kezelés, C6: Hibás hozzáférés-vezérlés, C8: Megfigyelhetőség hiánya
STaaS - Tárolás, mint szolgáltatás	Igény szerint skálázható felhőalapú tárhely	Amazon S3, Google Cloud Storage, Azure Blob Storage	Nem biztonságos tárhelyek, véletlen adatkitettség, zsarolóvírus, gyenge hozzáférés-vezérlés.	Vállalatok, biztonsági mentési szolgáltatók	C4: Nem biztonságos konfiguráció, C6: Hibás hozzáférés-vezérlés, C1: Identitás- és hozzáféréskezelés
AIaaS - mesterséges intelligencia mint szolgáltatás	Előre betanított mesterségesintelligencia- és gépi tanulási modellek, valamint eszközök szolgáltatásként.	Azure Cognitive Services, AWS SageMaker, Google Vertex AI	Modellmérgezés, megtévesztő bemenetek, adatvédelmi incidensek, torzítás (bias).	Adattudósok, fejlesztők	C9: Függőségek, C5: Ellátási lánc, C8: Megfigyelhetőség
MLaaS - Gépi tanulás, mint szolgáltatás	Menedzselt gépi tanulási eszközök és infrastruktúra.	Amazon SageMaker, Google AI Platform, Azure Machine Learning	Adatszivárgás, modell-lopás, nem biztonságos tanítási adatok, visszaélés.	Gépi tanulási (ML) mérnökök, kutatók	C9: Függőségek, C5: Ellátási lánc, C3: Titokkezelés
SECaaS - Biztonság, mint szolgáltatás	Felhőn keresztül nyújtott kiberbiztonsági szolgáltatások (pl. tűzfalak, antivírus, fenyegetésfigyelés).	Cloudflare, Zscaler, Palo Alto Prisma Access	Harmadik felektől való túlzott függés, hibás konfigurációk, hamis biztonságérzet	Biztonsági csapatok, vállalkozások	C4: Nem biztonságos konfiguráció, C10: Elégtelen irányítás és megfelelés, C8: Megfigyelhetőség
NaaS - Hálózat, mint szolgáltatás	Igény szerinti hálózati szolgáltatások (pl. VPN, sávszélesség, útválasztás).	Megaport, Aryaka, AWS Cloud WAN	Forgalom lehallgatása, DNS-mérgezés, nem biztonságos VPN-beállítások, DDoS	Hálózati mérnökök, vállalkozások	C6: Hibás hozzáférés-vezérlés, C4: Nem biztonságos konfiguráció, C8: Megfigyelhetőség hiánya
IDaaS - Identitás, mint szolgáltatás	Felhőalapú identitás- és hozzáféréskezelés	Okta, Azure AD, Auth0	Hitelesítő adatok lopása, munkamenet-eltérítés, nem megfelelő többfaktoros hitelesítés	IT biztonsági csoportok, vállalkozások	C1: Beazonosítás- és hozzáférés-kezelés, C6: Hibás hozzáférés-vezérlés, C10: Elégtelen irányítás és megfelelés
UCaaS - Egységesített kommunikáció, mint szolgáltatás	Integrált kommunikációs eszközök, mint például VoIP, üzenetküldés, videokonferenciák	Zoom, RingCentral, Microsoft Teams	Lehallgatás, MITM-támadások, nem titkosított csevegés, adathalászat	vállalkozások, call centerek, Végfelhasználók	C1: Identitás- és hozzáférés-kezelés, C8: Megfigyelhetőség hiánya, C6: Hibás hozzáférés-vezérlés

Kiválaszt

Felhő modellek

Cél / Felhasználás

Példatermékek

Tipikus fenyegetések

Tipikus felhasználók

OWASP kontroll

IaaS - Infrastruktúra, mint szolgáltatás

Virtualizált számítási erőforrásokat biztosít (szervereket, tárhelyet, hálózatot).

AWS EC2, Microsoft Azure VMs, Google Compute Engine

Helytelenül konfigurált virtuális gépek, nem biztonságos API-k, adatszivárgások, elégtelen hozzáférés-ellenőrzés

Rendszergazdák, DevOps, IT-csapatok

C4: Nem biztonságos konfiguráció, C6: Hibás hozzáférés-vezérlés, C1: Identitás- és hozzáféréskezelés

PaaS - Platform, mint szolgáltatás

Platform alkalmazások fejlesztésére, futtatására és kezelésére anélkül, hogy az infrastruktúrát menedzselni kellene.

Heroku, Google App Engine, Azure App Service

Nem biztonságos fejlesztési környezetek, sebezhető futtatási könyvtárak, jogosulatlan hozzáférés.

Fejlesztők, szoftvermérnökök

C7: Nem biztonságos munkaterhelés-kezelés, C2: Nem biztonságos CI/CD-folyamatok, C6: Hibás hozzáférés-vezérlés

SaaS - Szoftver, mint szolgáltatás

Szoftveralkalmazásokat nyújt az interneten keresztül.

Google Workspace, Microsoft 365, Salesforce

Adatszivárgás, gyenge hitelesítés, az adatgazda feletti kontroll hiánya, adathalászat.

Végfelhasználók, üzleti csapatok

C1: Identitás- és hozzáférés-kezelés, C6: Hibás hozzáférés-vezérlés, C9: Nem biztonságos függőségek

FaaS - Funkció, mint szolgáltatás

Eseményvezérelt kódfuttatás szerverkezelés nélkül (szerver nélküli működés).

AWS Lambda, Azure Functions, Google Cloud Functions

Nem biztonságos kódfuttatás, eseménybefecskendezés, hiányos funkcióizoláció, nem biztonságos függőségek.0

Fejlesztők, eseményvezérelt rendszerek

C3: Titokkezelés, C7: Nem biztonságos munkafolyamat-kezelés, C9: Függőségek

CaaS - Konténer, mint szolgáltatás

Konténerek irányítása és kezelése

Google Kubernetes Engine, Azure Kubernetes Service, AWS Fargate

Konténer escape, nem biztonságos képek, rosszul konfigurált koordináció, titkok kiszivárgása

DevOps, Cloud Architects

C4: Nem biztonságos konfiguráció, C3: Titokkezelés, C7: Nem biztonságos munkafolyamat-kezelés

BaaS - Háttér, mint szolgáltatás

Kész háttérszolgáltatások (pl. hitelesítés, adatbázis, tárhely) alkalmazásokhoz.

Firebase, AWS Amplify, Supabase

Adatok kiszivárgása hibásan konfigurált végpontokon keresztül, nem biztonságos mobil kliensintegráció.

Web-/mobilalkalmazás-fejlesztők

C4: Nem biztonságos konfiguráció, C1: Identitás- és hozzáférés-kezelés, C8: Megfigyelhetőség hiánya

DBaaS - Adatbázis, mint szolgáltatás

Teljes körű adatbázis-ellátás, skálázás és biztonsági mentések

Amazon RDS, MongoDB Atlas, Azure SQL Database

Jogosulatlan hozzáférés, SQL-behatolás, nem frissített motorok, nem biztonságos biztonsági mentések

Fejlesztők, adatrmérnökök

C6: Hibás hozzáférés-vezérlés, C4: Nem biztonságos konfiguráció, C9: Függőségek

DaaS - Eszköz, mint szolgáltatás

Felhőalapú virtuális munkaasztalok, amelyek bárhonnan elérhetők

Amazon WorkSpaces, Citrix DaaS, Windows 365

Munkamenet-eltérítés, adatszivárgás a vágólapon vagy nyomtatáson keresztül, gyenge végponti biztonság.

Távoli munkavállalók, IT csapatok

C1: Identitás- és hozzáférés-kezelés, C6: Hibás hozzáférés-vezérlés, C8: Megfigyelhetőség hiánya

STaaS - Tárolás, mint szolgáltatás

Igény szerint skálázható felhőalapú tárhely

Amazon S3, Google Cloud Storage, Azure Blob Storage

Nem biztonságos tárhelyek, véletlen adatkitettség, zsarolóvírus, gyenge hozzáférés-vezérlés.

Vállalatok, biztonsági mentési szolgáltatók

C4: Nem biztonságos konfiguráció, C6: Hibás hozzáférés-vezérlés, C1: Identitás- és hozzáféréskezelés

AIaaS - mesterséges intelligencia mint szolgáltatás

Előre betanított mesterségesintelligencia- és gépi tanulási modellek, valamint eszközök szolgáltatásként.

Azure Cognitive Services, AWS SageMaker, Google Vertex AI

Modellmérgezés, megtévesztő bemenetek, adatvédelmi incidensek, torzítás (bias).

Adattudósok, fejlesztők

C9: Függőségek, C5: Ellátási lánc, C8: Megfigyelhetőség

MLaaS - Gépi tanulás, mint szolgáltatás

Menedzselt gépi tanulási eszközök és infrastruktúra.

Amazon SageMaker, Google AI Platform, Azure Machine Learning

Adatszivárgás, modell-lopás, nem biztonságos tanítási adatok, visszaélés.

Gépi tanulási (ML) mérnökök, kutatók

C9: Függőségek, C5: Ellátási lánc, C3: Titokkezelés

SECaaS - Biztonság, mint szolgáltatás

Felhőn keresztül nyújtott kiberbiztonsági szolgáltatások (pl. tűzfalak, antivírus, fenyegetésfigyelés).

Cloudflare, Zscaler, Palo Alto Prisma Access

Harmadik felektől való túlzott függés, hibás konfigurációk, hamis biztonságérzet

Biztonsági csapatok, vállalkozások

C4: Nem biztonságos konfiguráció, C10: Elégtelen irányítás és megfelelés, C8: Megfigyelhetőség

NaaS - Hálózat, mint szolgáltatás

Igény szerinti hálózati szolgáltatások (pl. VPN, sávszélesség, útválasztás).

Megaport, Aryaka, AWS Cloud WAN

Forgalom lehallgatása, DNS-mérgezés, nem biztonságos VPN-beállítások, DDoS

Hálózati mérnökök, vállalkozások

C6: Hibás hozzáférés-vezérlés, C4: Nem biztonságos konfiguráció, C8: Megfigyelhetőség hiánya

IDaaS - Identitás, mint szolgáltatás

Felhőalapú identitás- és hozzáféréskezelés

Okta, Azure AD, Auth0

Hitelesítő adatok lopása, munkamenet-eltérítés, nem megfelelő többfaktoros hitelesítés

IT biztonsági csoportok, vállalkozások

C1: Beazonosítás- és hozzáférés-kezelés, C6: Hibás hozzáférés-vezérlés, C10: Elégtelen irányítás és megfelelés

UCaaS - Egységesített kommunikáció, mint szolgáltatás

Integrált kommunikációs eszközök, mint például VoIP, üzenetküldés, videokonferenciák

Zoom, RingCentral, Microsoft Teams

Lehallgatás, MITM-támadások, nem titkosított csevegés, adathalászat

vállalkozások, call centerek, Végfelhasználók

C1: Identitás- és hozzáférés-kezelés, C8: Megfigyelhetőség hiánya, C6: Hibás hozzáférés-vezérlés

Kockázatértékelés

Understanding Your Risk Results

This assessment calculates a risk score based on Impact × Likelihood. The higher the score, the more urgent the risk.
The color scale helps you quickly see what action is needed:

🟢 Green (1–3) – Very low risk. No action needed.
🟡 Yellow (4–6) – Low risk. Review when convenient.
🟠 Orange (8–12) – Medium risk. Plan and manage controls soon.
🔴 Red (15–25) – High risk. Take immediate action to fix or reduce it.

Use these results to prioritize your next security improvements.

ID	OWASP kontroll	Kiválasztott felhőmodellek	Példák	Valószínűség	Hatás	Kockázati szint	Sebezhetőségek	Kockázatcsökkentés	Bevezetés költsége	Fenntartás költsége	Megtendő intézkedések és Felelősség