云应用安全技术规范

I云应用安全技术规范CSA云安全联盟标准CSAGCRC001—2022云安全联盟大中华区发布CloudApplicationSecurityTechnologySpecification2022-03-09发布 II目 次前言...................................................................................................................................................................III1范围.....................................................................................................................................................................12规范性引用文件.................................................................................................................................................13术语和定义.........................................................................................................................................................14缩略语.................................................................................................................................................................25云应用安全技术或能力要求.............................................................................................................................25.1云应用架构设计要求.................................................................................................................................35.2应用运行环境安全要求.............................................................................................................................45.3云应用程序安全要求.................................................................................................................................55.4访问控制安全要求.....................................................................................................................................85.5租户级安全自助能力要求.........................................................................................................................95.6云应用实施/交付/服务安全要求...............................................................................................................95.7数据安全要求...........................................................................................................................................115.8安全管理能力要求...................................................................................................................................12 III前 言本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由云安全联盟大中华区归口。本文件主要起草单位：北森云计算有限公司、公安部第三研究所、北京华为数字技术有限公司、中国信息通信研究院、北京江南天安科技有限公司、北京金山云网络技术有限公司、北京奇虎科技有限公司、北京神州数码云计算有限公司、北京数字认证股份有限公司、北京天融信网络安全技术有限公司、广州赛宝认证中心服务有限公司、杭州安恒信息技术股份有限公司、杭州迪普科技股份有限公司、杭州默安科技有限公司、江苏保旺达软件技术有限公司、启明星辰信息技术集团股份有限公司、融联易云金融信息服务（北京）有限公司、上海安几科技有限公司、上海派拉软件股份有限公司、深信服科技股份有限公司、深圳国家金融科技测评中心有限公司、深圳市联软科技股份有限公司、顺丰科技有限公司、腾讯云计算（北京）有限责任公司、网宿科技股份有限公司、浙江大华技术股份有限公司、浙江瀛云科技有限公司、中国电信股份有限公司研究院。本文件主要起草人：李雨航、郭鹏程、陈妍、李强、罗斌、柴瑶琳、王冬冬、于丽芳、王玉常、陈强、李向锋、王龑、刘克松、毛润华、仇俊杰、孟瑾、杜有为、杨天识、于跃、容晓琳、茆正华、雷若琦、吴祖顺、侯俊、马超、王永霞、朱梦婷、尚玉红、王方军、姚凯、何国锋。 CSAGCRC001—202211范围本文件确立云应用产品应该具备的安全相关的技术或能力要求。云应用包括但不限于SaaS云应用、PaaS和IaaS云的应用程序部分。云应用提供服务的形式可以是web应用、移动APP、API接口等。本文件为云应用厂商或甲方构建安全的云应用产品提供参考和指导，为云客户选择安全的云应用产品提供参考和指南。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，标注日期的引用文件，仅该日期所对应的版本适用于本文件；不标注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069-2010信息安全技术术语GB/T35273-2020信息安全技术个人信息安全规范GB/T22239-2019信息安全技术网络安全等级保护基本要求CSA云计算安全技术要求SaaS安全技术要求ISO/IEC27001信息安全管理3术语和定义3.1云应用CloudApplication是以云的形式提供服务的应用，包括但不限于SaaS云应用、PaaS和IaaS云的应用程序部分。云应用提供服务的形式可以是web应用、移动APP、API接口等。3.2云应用厂商CloudApplicationProvider是指为客户提供云应用及相关服务的厂商，又称云应用提供商。3.3云应用租户CloudApplicationTenant是指云应用的购买方或使用方，可以是企业也可以是个人。3.4互操作性Interoperability又称互用性，是指不同的计算机系统或应用程序一起工作并共享信息的能力。比较常见的实现互操作性的方式是不同系统通过API接口进行集成和对接，以实现功能或数据的集成。3.5可移植性Portability是指应用程序或数据在不同的平台、环境或服务商之间进行迁移的能力。 CSAGCRC001—202223.6不可变基础设施ImmutableInfrastructure是一种基础设施变更管理的方式，主要是指不直接对运行中的云主机或容器等基础设施实例执行任何变更，而是统一基于标准镜像模板进行变更，再用变更以后的最新镜像创建新实例，然后用新实例替换运行中的实例。利用不可变基础设施可以减少攻击面，同时最大限度的保障环境配置的一致性。4缩略语下列缩略语适用于本文件。APPApplication应用程序APIApplicationProgrammingInterface应用程序接口SQLStructuredQueryLanguage结构化查询语音CI/CDContinuousIntegration/ContinuousDelivery持续集成/持续部署SaaSSoftware-as-a-Service软件即服务PaaSPlatform-as-a-Service平台即服务IaaSInfrastructure-as-a-Service基础设施即服务SDKSoftwareDevelopmentKit软件开发工具包RBACRoleBasedAccessControl基于角色的访问控制ABACAttributeBasedAccessControl基于属性的访问控制IAMIdentityandAccessManagement身份与访问管理IDaaSIdentity-as-a-Service身份验证即服务SSOSingleSignOn单点登录PIIPersonallyIdentifiableInformation个人身份信息SLAServiceLevelAgreement服务等级协议GUIDGloballyUniqueIdentifier全局唯一标识符APaaSApplicationPlatform-as-a-Service应用级平台即服务ISVIndependentSoftwareVendors独立软件开发商TEETrustedExecutionEnvironment可信执行环境SESecureElement安全元件RASPRuntimeApplicationSelf-protect应用运行时自我保护5云应用安全技术或能力要求本文件对云应用应该具备的安全技术或能力要求进行了说明，主要包括云应用架构设计要求、云应用运行环境安全要求、云应用程序安全要求、访问控制安全要求、租户级安全自助能力要求、云实施/交付/服务安全要求、云数据安全要求、云安全管理能力要求共8个控制域，各控制域包含的主要控制项如图1所示，控制项详情见5.1-5.8。 CSAGCRC001—20223图1云应用安全框架5.1云应用架构设计要求云资源的弹性无法保障云应用整体的弹性能力，因此在云应用的设计阶段要充分考虑架构问题，通过架构设计来保证云应用层面的弹性，从而提升云应用的稳定性。此外还应在架构设计阶段充分考虑云应用的性能和安全问题。本文件涉及的云应用架构设计要求主要包括高可用、高性能、高安全三个方面。5.1.1高可用架构设计云应用的架构设计应能够保障应用持续稳定运行，提升云应用的整体可用性，确保云应用满足SLA的要求。相关要求如下：【基础要求】a）应支持从基础设施到应用程序各层级的负载均衡；b）应支持水平扩展集群或分布式集群部署；c）应支持异地灾备；d）应支持租户级策略路由；e）应支持微服务架构，实现不同业务功能解耦；f