CSA 云原生安全技术规范

CSA GCR C002—2022 CS A 云安全联盟标准 CSA GCR C002—2022 m o c . 5 云原生安全技术规范 b u h t i g Cloud Native Security Technology Specification 2022 - 05 - 05 发布云安全联盟大中华区发布 1 CSA GCR C002—2022 目次前言 ................................................................................ 3 1 2 3 4 5 范围 ................................................................................ 4 规范性引用文件 ...................................................................... 4 术语和定义 .......................................................................... 4 缩略语 .............................................................................. 5 概述 ................................................................................ 7 5.1 体系框架 ..........................................................................7 5.2 全组件简介 ........................................................................8 6 云原生安全能力要求 .................................................................. 9 6.1 容器基础设施安全能力要求 ......................................................... 9 6.2 容器编排平台安全能力要求 ........................................................ 18 6.3 微服务安全能力要求 .............................................................. 27 6.4 服务网格安全能力要求 ............................................................ 30 6.5 无服务器计算安全能力要求 ........................................................ 32 m o c . 5 h t i g b u 2 CSA GCR C002—2022 前言本文件按照 GB/T 1.1-2020《标准化工作导则第 1 部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 m o c . 5 本文件由云安全联盟大中华区归口。本文件主要起草单位：绿盟科技集团股份有限公司、腾讯科技（深圳）有限公司、公安部第三研究所、工商银行云计算实验室、深圳国家金融科技测评中心有限公司、浙江大华技术股份有限公司、北京小佑网络科技有限公司、安易科技(北京)有限公司、北京升鑫 b u 网络科技有限公司、北京天融信网络安全技术有限公司、浪潮云信息技术股份公司、中国电信研究院安全技术研究所、北京华云安信息技术有限公司、启明星辰信息技术集团股份 h t i g 有限公司、深信服科技股份有限公司、中孚信息股份有限公司、上海派拉软件股份有限公司、杭州安恒信息技术股份有限公司、北京探真科技有限公司、亚信安全科技股份有限公司、北京山石网科信息技术有限公司、北京雅客云安全科技有限公司、厦门服云信息科技有限公司、新华三技术有限公司、广州赛宝认证中心服务有限公司、北京网御星云信息技术有限公司、北森云计算有限公司、腾讯云计算（北京）有限责任公司、中电云数智科技有限公司。本文件主要起草人：李雨航、刘文懋、谢奕智、陈妍、浦明、郑剑锋、刘连杰、申屠鹏会、刘强军、应天元、袁曙光、王亮、胡俊、王龑、饶飞、闻剑峰、马维士、郭伟华、朱青、杨文宏、茆正华、金丽慧、李祥乾、张鸣、黄猛、许兆彦、郭嘉伟、李安伦、黄凤贤、刘丕群、郭鹏程、姚凯、董志强、梁洋洋、吴湘宁。 3 CSA GCR C002—2022 1 范围本文件主要为了提升云原生类产品技术，帮助更多安全从业人员解决在规划、实施和维护云原生安全架构时遇到的问题，针对云原生安全体系中涉及的每类技术制定的标准。本文件适用于为云原生类产品厂商或甲方构建安全的云原生类产品提供参考和指导。 2 规范性引用文件 m o c . 5 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，标日期的引用文件，仅该日期所对应的版本适用于本文件；不标注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069-2010 信息安全技术术语 b u GB/T 35273-2020 信息安全技术个人信息安全规范 GB/T 22239-2019 信息安全技术网络安全等级保护基本要求 h t i g JR/T 0095-2012 中国金融移动支付应用安全规范 GM/T 0005-2021 随机性检测规范 GM/T 0028-2014 密码模块安全技术要求 GM/T 0054-2018 信息系统密码应用基本要求 3 术语和定义 GB/T 25069—2010、GB/T 35273-2020、ISACA-Glossary 界定的下列术语和定义适用于本文件。 3.1 信息技术 Information Technology 用于输入、存储、处理、传输和输出数据的硬件、软件、通信和其他设施的总称。 3.2 角色 Character 在过程或组织的语境中所执行的功能。 4 CSA GCR C002—2022 3.3 对象 Object 系统中可供访问的实体。例如:数据、资源、进程等。 3.4 入侵 Intrusion 对某一网络或联网系统的未经授权的访问,即对某一信息系统的有意无意的未经授权的访问(包括针对信息的恶意活动)。 3.5 m o c . 5 授权 Authorization 赋予某一主体可实施某些动作的权限的过程 3.6 数据保护 Data Protection b u 采取管理或技术措施,防范未经授权访问数据。 3.7 泄露 Breach h t i g 违反信息安全策略,使数据被未经授权的实体使用 3.8 服务网格 Service Mesh 服务网格是一个基础设施层，主要用于处理服务间的通信。云原生应用有着复杂的服务拓扑，服务网格负责在这些拓扑中实现请求的可靠传递。在实践中，服务网格通常实现为一组轻量级网络代理，它们与应用程序部署在一起，而对应用程序透明。 3.9 无服务器计算 Serverless Computing 无服务器计算可在不考虑服务器的情况下构建并运行应用程序和服务，它使开发者避免了基础设施管理，例如集群配置、漏洞修补、系统维护等。无服务器计算并非字面理解的不需要服务器，只是服务器均交由第三方管理。 4 缩略语 5 CSA GCR C002—2022 下列缩略语适用于本文件。 ABAC Attribute-Based Access Control 基于属性的访问控制 API Application Programming Interface 应用程序接口 DPIA Data Privacy Impact Assessment 数据隐私影响评估 DoW Denial of Wallet 拒绝钱包服务攻击 IT Information Technology 信息技术 KASLR Kernel Address-Space Layout Randomization 内核地址空间随机变化 KMS Key Management Service KPTI Kernel Page-Table Isolation LDAP Lightweight Directory Access Protocol OIDC OpenID Connect RBAC Role-Based Access Control RCE Remote Command/Code Execute gRPC gRPC Remote Procedure Calls gRPC 远程过程调用系统 SCIM System for Cross-domain Identity Management 跨域身份管理介绍 SDK Software Development Kit 软件开发工具包 SELinux Security-Enhanced Linux 安全增强型 Linux SIEM Security Information Event Management 安全信息与事件管理 SMAP Supervisor Mode Access Prevention 管理模式访问保护 SMEP Supervisor Mode Execution Prevention 管理模式执行保护 SQL Structured Query Language 结构化查询语言 SSL Secure Sockets Layer 安全套接字协议 SSRF Server-Side Request Forgery 服务端请求为伪造 TLS Transport Layer Security 传输层安全性协议 XSS Cross Site Scripting 跨站脚本攻击 XXE XML External Entity Injection XML 外部实体注入 URL Uniform Resource Locator 统一资源定位系统 m o