CS A 云安全联盟标准 CSA GCR C001—2022 m o c . 5 云应用安全技术规范 b u h t i g Cloud Application Security Technology Specification 2022 - 03 - 09 发布 云安全联盟大中华区 发 布 I 目 次 前 言................................................................................................................................................................... III 1 范围..................................................................................................................................................................... 1 2 规范性引用文件................................................................................................................................................. 1 3 术语和定义......................................................................................................................................................... 1 m o c . 5 4 缩略语................................................................................................................................................................. 2 5 云应用安全技术或能力要求............................................................................................................................. 2 5.1 云应用架构设计要求................................................................................................................................. 3 5.2 应用运行环境安全要求............................................................................................................................. 4 b u 5.3 云应用程序安全要求................................................................................................................................. 5 h t i g 5.4 访问控制安全要求..................................................................................................................................... 8 5.5 租户级安全自助能力要求......................................................................................................................... 9 5.6 云应用实施/交付/服务安全要求...............................................................................................................9 5.7 数据安全要求........................................................................................................................................... 11 5.8 安全管理能力要求................................................................................................................................... 12 II 前 言 本文件按照 GB/T 1.1-2020《标准化工作导则 第 1 部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由云安全联盟大中华区归口。 本文件主要起草单位:北森云计算有限公司、公安部第三研究所、北京华为数字技术有限公司、中 国信息通信研究院、北京江南天安科技有限公司、北京金山云网络技术有限公司、北京奇虎科技有限公 司、北京神州数码云计算有限公司、北京数字认证股份有限公司、北京天融信网络安全技术有限公司、 广州赛宝认证中心服务有限公司、杭州安恒信息技术股份有限公司、杭州迪普科技股份有限公司、杭州 默安科技有限公司、江苏保旺达软件技术有限公司、启明星辰信息技术集团股份有限公司、融联易云金 融信息服务(北京)有限公司、上海安几科技有限公司、上海派拉软件股份有限公司、深信服科技股份 有限公司、深圳国家金融科技测评中心有限公司、深圳市联软科技股份有限公司、顺丰科技有限公司、 腾讯云计算(北京)有限责任公司、网宿科技股份有限公司、浙江大华技术股份有限公司、浙江瀛云科 技有限公司、中国电信股份有限公司研究院。 本文件主要起草人:李雨航、郭鹏程、陈妍、李强、罗斌、柴瑶琳、王冬冬、于丽芳、王玉常、陈 强、李向锋、王龑、刘克松、毛润华、仇俊杰、孟瑾、杜有为、杨天识、于跃、容晓琳、茆正华、雷若 琦、吴祖顺、侯俊、马超、王永霞、朱梦婷、尚玉红、王方军、姚凯、何国锋。 m o c . 5 h t i g b u III CSA GCR C001—2022 1 范围 本文件确立云应用产品应该具备的安全相关的技术或能力要求。云应用包括但不限于SaaS云应用、 PaaS和IaaS云的应用程序部分。云应用提供服务的形式可以是web应用、移动APP、API接口等。 本文件为云应用厂商或甲方构建安全的云应用产品提供参考和指导,为云客户选择安全的云应用产 品提供参考和指南。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,标注日期的引用文 件,仅该日期所对应的版本适用于本文件;不标注日期的引用文件,其最新版本(包括所有的修改单) 适用于本文件。 GB/T 25069-2010 信息安全技术 术语 GB/T 35273-2020 信息安全技术 个人信息安全规范 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 CSA云计算安全技术要求 SaaS安全技术要求 ISO/IEC 27001 信息安全管理 3 m o c . 5 b u 术语和定义 h t i g 3.1 云应用 Cloud Application 是以云的形式提供服务的应用,包括但不限于SaaS云应用、PaaS和IaaS云的应用程序部分。云应用 提供服务的形式可以是web应用、移动APP、API接口等。 3.2 云应用厂商 Cloud Application Provider 是指为客户提供云应用及相关服务的厂商,又称云应用提供商。 3.3 云应用租户 Cloud Application Tenant 是指云应用的购买方或使用方,可以是企业也可以是个人。 3.4 互操作性 Interoperability 又称互用性,是指不同的计算机系统或应用程序一起工作并共享信息的能力。比较常见的实现互操 作性的方式是不同系统通过API接口进行集成和对接,以实现功能或数据的集成。 3.5 可移植性 Portability 是指应用程序或数据在不同的平台、环境或服务商之间进行迁移的能力。 1 CSA GCR C001—2022 3.6 不可变基础设施 Immutable Infrastructure 是一种基础设施变更管理的方式,主要是指不直接对运行中的云主机或容器等基础设施实例执行任 何变更,而是统一基于标准镜像模板进行变更,再用变更以后的最新镜像创建新实例,然后用新实 例替换运行中的实例。利用不可变基础设施可以减少攻击面,同时最大限度的保障环境配置的一致 性。 4 缩略语 下列缩略语适用于本文件。 APP Application API Application Programming Interface SQL Structured Query Language CI/CD Continuous Integration/ Continuous Delivery SaaS Software-as-a-Service PaaS Platform-as-a-Service IaaS Infrastructure-as-a-Service SDK Software Development Kit RBAC Role Based Access Control ABAC Attribute Based Access Control IAM Identity and Access Management IDaaS Identity-as-a-Service SSO SingleSignOn PII Personally Identifiable Information SLA
CSA 云应用安全技术规范
文档预览
中文文档
16 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共16页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-06-17 04:38:25上传分享