CS A 云安全联盟标准 CSA GCR XXXX—XXXX m o c . 5 云原生安全技术规范 b u h t i g Cloud Native Security Technology Specification （征求意见稿） 2022 - XX - XX 发布 云安全联盟大中华区 发 布 I CSA GCR XXXX—XXXX 目 次 前  言............................................................................................................................................................... III 1 范围..................................................................................................................................................................... 1 2 规范性引用文件................................................................................................................................................. 1 m o c . 5 3 术语和定义......................................................................................................................................................... 1 4 缩略语................................................................................................................................................................. 2 5 概述..................................................................................................................................................................... 3 b u 6 云原生安全能力要求......................................................................................................................................... 5 h t i g 6.1 容器基础设施安全能力要求..................................................................................................................... 5 6.2 容器编排平台安全能力要求................................................................................................................... 13 6.3 微服务安全能力要求............................................................................................................................... 23 6.4 服务网格安全能力要求........................................................................................................................... 26 6.5 无服务器计算安全能力要求................................................................................................................... 27 II CSA GCR XXXX—XXXX 前  言 本文件按照 GB/T 1.1-2020《标准化工作导则 第 1 部分：标准化文件的结构和起草规 则》的规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责 任。 本文件由云安全联盟大中华区归口。 本文件主要起草单位：绿盟科技集团股份有限公司、腾讯科技（深圳）有限公司、公安部 第三研究所、工商银行云计算实验室、深圳国家金融科技测评中心有限公司、浙江大华技 术股份有限公司、北京小佑网络科技有限公司、安易科技(北京)有限公司、北京升鑫网络 科技有限公司、北京天融信网络安全技术有限公司、浪潮云信息技术股份公司、中国电信 研究院安全技术研究所、北京华云安信息技术有限公司、启明星辰信息技术集团股份有限 公司、深信服科技股份有限公司、中孚信息股份有限公司、上海派拉软件股份有限公司、 杭州安恒信息技术股份有限公司、北京探真科技有限公司、亚信安全科技股份有限公司、 北京山石网科信息技术有限公司、北京雅客云安全科技有限公司、厦门服云信息科技有限 公司、新华三技术有限公司、广州赛宝认证中心服务有限公司、北京网御星云信息技术有 限公司、北森云计算有限公司。 本文件主要起草人：李雨航、刘文懋、谢奕智、陈妍、浦明、郑剑锋、刘连杰、申屠 鹏会、刘强军、应天元、袁曙光、王亮、胡俊、王龑、饶飞、闻剑峰、马维士、郭伟华、 朱青、杨文宏、茆正华、金丽慧、李祥乾、张鸣、黄猛、许兆彦、郭嘉伟、李安伦、黄凤 贤、刘丕群、郭鹏程、姚凯。 m o c . 5 h t i g b u III CSA GCR XXXX—XXXX 1 范围 本文件主要为了提升云原生类产品技术，帮助更多安全从业人员解决在规划、实施和 维护云原生安全体系架构时遇到的问题，针对云原生安全体系中涉及的每类技术制定的标 准。 本文件适用于为云原生类产品厂商或甲方构建安全的云原生类产品提供参考和指导。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，标日 期的引用文件，仅该日期所对应的版本适用于本文件；不标注日期的引用文件，其最新版 本（包括所有的修改单）适用于本文件。 GB/T 25069-2010 信息安全技术 术语 GB/T 35273-2020 信息安全技术 个人信息安全规范 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 JR/T 0095-2012 中国金融移动支付 应用安全规范 GM/T 0005-2021 随机性检测规范 GM/T 0028-2014 密码模块安全技术要求 GM/T 0054-2018 信息系统密码应用基本要求 3 术语和定义 m o c . 5 b u h t i g GB/T 25069—2010、GB/T 35273-2020、ISACA-Glossary界定的下列术语和定义适用 于本文件。 3.1 信息技术 Information Technology 用于输入、存储、处理、传输和输出数据的硬件、软件、通信和其他设施的总称。 3.2 角色 Character 在过程或组织的语境中所执行的功能。 3.3 对象 Object 系统中可供访问的实体。例如:数据、资源、进程等。 3.4 入侵 Intrusion 对某一网络或联网系统的未经授权的访问,即对某一信息系统的有意无意的未经授权 的访问(包括针对信息的恶意活动)。 1 CSA GCR XXXX—XXXX 3.5 授权 Authorization 赋予某一主体可实施某些动作的权限的过程 3.6 数据保护 Data Protection 采取管理或技术措施,防范未经授权访问数据。 3.7 泄露 Breach 违反信息安全策略,使数据被未经授权的实体使用 m o c . 5 4 缩略语 下列缩略语适用于本文件。 IT DPIA SDK SQL KASLR TLS API SELinux KMS SSL LDAP SCIM OIDC SIEM gRPC XSS SSRF XXE RCE URL RBAC ABAC SIEM KASLR SMEP Information Technology 信息技术 Data Privacy Impact Assessment 数据隐私影响评估 Software Development Kit 软件开发工具包 Structured Query Language 结构化查询语言 kernel address-space layout randomization 内核地址空间随机变化 Transport Layer Security 传输层安全性协议 Application Programming Interface 应用程序接口 Security-Enhanced Linux Linux的强制访问控制安全模块 Key Management Service 密钥管理服务 Secure Sockets Layer 安全套接字协议 Lightweight Directory Access Protocol 轻型目录访问协议 System for Cross-domain Identity Management 跨域身份管理介绍 OpenId Connect 身份认证 Security Information Event Management 安全信息与事件管理 gRPC Remote Procedure Calls 远程过程调用系统 Cross Site Scripting 跨站脚本攻击 Server-Side Request Forgery 服务端请求为伪造 XML External Entity Injection XML外部实体注入 remote command/