云原生安全技术规范

CSAGCRC002—20221云原生安全技术规范CSA云安全联盟标准CSAGCRC002—2022云安全联盟大中华区发布CloudNativeSecurityTechnologySpecification2022-05-05发布 CSAGCRC002—20222目次前 言................................................................................31范围................................................................................42规范性引用文件......................................................................43术语和定义..........................................................................44缩略语..............................................................................55概述................................................................................75.1体系框架..........................................................................75.2全组件简介........................................................................86云原生安全能力要求..................................................................96.1容器基础设施安全能力要求.........................................................96.2容器编排平台安全能力要求........................................................186.3微服务安全能力要求..............................................................276.4服务网格安全能力要求............................................................306.5无服务器计算安全能力要求........................................................32 CSAGCRC002—20223前 言本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由云安全联盟大中华区归口。本文件主要起草单位：绿盟科技集团股份有限公司、腾讯科技（深圳）有限公司、公安部第三研究所、工商银行云计算实验室、深圳国家金融科技测评中心有限公司、浙江大华技术股份有限公司、北京小佑网络科技有限公司、安易科技(北京)有限公司、北京升鑫网络科技有限公司、北京天融信网络安全技术有限公司、浪潮云信息技术股份公司、中国电信研究院安全技术研究所、北京华云安信息技术有限公司、启明星辰信息技术集团股份有限公司、深信服科技股份有限公司、中孚信息股份有限公司、上海派拉软件股份有限公司、杭州安恒信息技术股份有限公司、北京探真科技有限公司、亚信安全科技股份有限公司、北京山石网科信息技术有限公司、北京雅客云安全科技有限公司、厦门服云信息科技有限公司、新华三技术有限公司、广州赛宝认证中心服务有限公司、北京网御星云信息技术有限公司、北森云计算有限公司、腾讯云计算（北京）有限责任公司、中电云数智科技有限公司。本文件主要起草人：李雨航、刘文懋、谢奕智、陈妍、浦明、郑剑锋、刘连杰、申屠鹏会、刘强军、应天元、袁曙光、王亮、胡俊、王龑、饶飞、闻剑峰、马维士、郭伟华、朱青、杨文宏、茆正华、金丽慧、李祥乾、张鸣、黄猛、许兆彦、郭嘉伟、李安伦、黄凤贤、刘丕群、郭鹏程、姚凯、董志强、梁洋洋、吴湘宁。 CSAGCRC002—202241范围本文件主要为了提升云原生类产品技术，帮助更多安全从业人员解决在规划、实施和维护云原生安全架构时遇到的问题，针对云原生安全体系中涉及的每类技术制定的标准。本文件适用于为云原生类产品厂商或甲方构建安全的云原生类产品提供参考和指导。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，标日期的引用文件，仅该日期所对应的版本适用于本文件；不标注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069-2010信息安全技术术语GB/T35273-2020信息安全技术个人信息安全规范GB/T22239-2019信息安全技术网络安全等级保护基本要求JR/T0095-2012中国金融移动支付应用安全规范GM/T0005-2021随机性检测规范GM/T0028-2014密码模块安全技术要求GM/T0054-2018信息系统密码应用基本要求3术语和定义GB/T25069—2010、GB/T35273-2020、ISACA-Glossary界定的下列术语和定义适用于本文件。3.1信息技术InformationTechnology用于输入、存储、处理、传输和输出数据的硬件、软件、通信和其他设施的总称。3.2角色Character在过程或组织的语境中所执行的功能。 CSAGCRC002—202253.3对象Object系统中可供访问的实体。例如:数据、资源、进程等。3.4入侵Intrusion对某一网络或联网系统的未经授权的访问,即对某一信息系统的有意无意的未经授权的访问(包括针对信息的恶意活动)。3.5授权Authorization赋予某一主体可实施某些动作的权限的过程3.6数据保护DataProtection采取管理或技术措施,防范未经授权访问数据。3.7泄露Breach违反信息安全策略,使数据被未经授权的实体使用3.8服务网格ServiceMesh服务网格是一个基础设施层，主要用于处理服务间的通信。云原生应用有着复杂的服务拓扑，服务网格负责在这些拓扑中实现请求的可靠传递。在实践中，服务网格通常实现为一组轻量级网络代理，它们与应用程序部署在一起，而对应用程序透明。3.9无服务器计算ServerlessComputing无服务器计算可在不考虑服务器的情况下构建并运行应用程序和服务，它使开发者避免了基础设施管理，例如集群配置、漏洞修补、系统维护等。无服务器计算并非字面理解的不需要服务器，只是服务器均交由第三方管理。4缩略语 CSAGCRC002—20226下列缩略语适用于本文件。ABACAttribute-BasedAccessControl基于属性的访问控制APIApplicationProgrammingInterface应用程序接口DPIADataPrivacyImpactAssessment数据隐私影响评估DoWDenialofWallet拒绝钱包服务攻击ITInformationTechnology信息技术KASLRKernelAddress-SpaceLayoutRandomization内核地址空间随机变化KMSKeyManagementService密钥管理服务KPTIKernelPage-TableIsolation内核页表隔离LDAPLightweightDirectoryAccessProtocol轻型目录访问协议OIDCOpenIDConnectOpenID连接认证协议RBACRole-BasedAccessControl基于角色的访问控制RCERemoteCommand/CodeExecute远程命令/代码执行漏洞gRPCgRPCRemoteProcedureCallsgRPC远程过程调用系统SCIMSystemforCross-domainIdentityManagement跨域身份管理介绍SDKSoftwareDevelopmentKit软件开发工具包SELinuxSecurity-EnhancedLinux安全增强型LinuxSIEMSecurityInformationEventManagement安全信息与事件管理SMAPSupervisorModeAccessPrevention管理模式访问保护SMEPSupervisorModeExecutionPrevention管理模式执行保护SQLStructuredQueryLanguage结构化查询语言SSLSecureSocketsLayer安全套接字协议SSRFServer-SideRequestForgery服务端请求为伪造TLSTransportLayerSecurity传输层安全性协议XSSCrossSiteScripting跨站脚本攻击XXEXMLExternalEntityInjectionXML外部实体注入URLUniformResourceLocator统一资源定位系统 CSAGCRC002—202275概述云原生得以迅速发展，一方面得益于开发运营一体化（DevOps）的广泛采用，另一方面在IT基础设施的基础上，出现了更加弹性、敏捷的新型服务支撑体系。同样地，云原生安全也可按照开发运营安全（DevSecOps）和云化系统安全两个维度考虑安全机制。5.1体系框架图1描述了前述的云原生安全框架。其中，横轴是开发运营安全维度，涉需求设计（Plan）、开发（Dev）、运营阶段(Ops)，细分为需求、设计、编码、测试、集成、交付、防护、检测、响应阶段，但考虑到响应安全能力要求在不同云原生技术层差异性较大，本标准不涉及响应阶段；而纵轴则是按照云原生系统和技术的层次划分，包括容器基础设施安全、容器编排平台安全、微服务安全、服务网格安全、无服务器计算安全五个部分。其中，从云原生安全的视角，云原生IT系统各层所需的安全要求从容器基础设施安全、容器编排系统安全，直至无服务器计算安全，对应图中蓝色标注部分。图1云原生安全体系框架 CSAGCRC002—20228此外，从DevSecOps的视角，涉及的能力范围几乎覆盖了横轴的各个阶段，可以参考图中紫色标注部分。最后，云原生安全体系各层都有认证授权、监控追踪和日志审计等通用的安全要求，这些通用技术能力覆盖DevSecOps中Ops阶段，见图1中黄色标注部分。5.2全组件简介左侧的需求设计、编码、测试和集成部分的安全机制是开发团队负责的。其中开发安全主要处于编码和测试阶段，涉及静态和动态的代码审计等，其安全能力要求都是面向云原生的服务和应用。6.3.1、6.3.2和6.5.1等节中均有涉及。镜像是容器的长期载体，镜像安全是在持续集成、持续交付和运行时防护阶段，主要是对容器镜像进行持续安全评估和加固，以保证镜像生成、上传、分发过程中的安全和未被篡改。同样的，镜像仓库安全也不容忽视，如访问控制、用户权限管理、容灾备份等。相关安全能力要求可参考6.1.5和6.1.6节。各种容器加固机制及配置核查主要在防护阶段，确认运行时的容器各项配置符合安全合规要求，其安全能力要求可参考6.1.2和6.1.3节；容器编排平台安全加固目标是确保编排系统的组件和配置都是符合安全要求的，满足合规性要求的，这部分与容器安全加固一样，主要处于防护阶段，相其安全能力要求可参考6.2.1和6.2.2节；容器运行在宿主机操作系统之上，因而宿主机内核和操作系统安全非常重要。关于内核安全能力要求可参考6.1.1节。网络安全则是面向基础设施