云应用安全技术规范

CSA云安全联盟标准 CSAGCRC001—2022 云应用安全技术规范 CloudApplicationSecurityTechnologySpecification 2022-03-09发布 云安全联盟大中华区发布 I 目次 前言III 1范围1 2规范性引用文件1 3术语和定义1 4缩略语2 5云应用安全技术或能力要求2 5.1云应用架构设计要求3 5.2应用运行环境安全要求4 5.3云应用程序安全要求5 5.4访问控制安全要求7 5.5租户级安全自助能力要求9 5.6云应用实施/交付/服务安全要求9 5.7数据安全要求10 5.8安全管理能力要求11 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由云安全联盟大中华区归口。 本文件主要起草单位：北森云计算有限公司、公安部第三研究所、北京华为数字技术有限公司、中国信息通信研究院、北京江南天安科技有限公司、北京金山云网络技术有限公司、北京奇虎科技有限公司、北京神州数码云计算有限公司、北京数字认证股份有限公司、北京天融信网络安全技术有限公司、广州赛宝认证中心服务有限公司、杭州安恒信息技术股份有限公司、杭州迪普科技股份有限公司、杭州默安科技有限公司、江苏保旺达软件技术有限公司、启明星辰信息技术集团股份有限公司、融联易云金融信息服务（北京）有限公司、上海安几科技有限公司、上海派拉软件股份有限公司、深信服科技股份有限公司、深圳国家金融科技测评中心有限公司、深圳市联软科技股份有限公司、顺丰科技有限公司、腾讯云计算（北京）有限责任公司、网宿科技股份有限公司、浙江大华技术股份有限公司、浙江瀛云科技有限公司、中国电信股份有限公司研究院。 本文件主要起草人：李雨航、郭鹏程、陈妍、李强、罗斌、柴瑶琳、王冬冬、于丽芳、王玉常、陈强、李向锋、王龑、刘克松、毛润华、仇俊杰、孟瑾、杜有为、杨天识、于跃、容晓琳、茆正华、雷若琦、吴祖顺、侯俊、马超、王永霞、朱梦婷、尚玉红、王方军、姚凯、何国锋。 1范围 本文件确立云应用产品应该具备的安全相关的技术或能力要求。云应用包括但不限于SaaS云应用、PaaS和IaaS云的应用程序部分。云应用提供服务的形式可以是web应用、移动APP、API接口等。 本文件为云应用厂商或甲方构建安全的云应用产品提供参考和指导，为云客户选择安全的云应用产品提供参考和指南。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，标注日期的引用文件，仅该日期所对应的版本适用于本文件；不标注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T25069-2010信息安全技术术语 GB/T35273-2020信息安全技术个人信息安全规范 GB/T22239-2019信息安全技术网络安全等级保护基本要求CSA云计算安全技术要求SaaS安全技术要求 ISO/IEC27001信息安全管理 3术语和定义 3.1 云应用CloudApplication 是以云的形式提供服务的应用，包括但不限于SaaS云应用、PaaS和IaaS云的应用程序部分。云应用提供服务的形式可以是web应用、移动APP、API接口等。 3.2 云应用厂商CloudApplicationProvider 是指为客户提供云应用及相关服务的厂商，又称云应用提供商。 3.3 云应用租户CloudApplicationTenant 是指云应用的购买方或使用方，可以是企业也可以是个人。 3.4 互操作性Interoperability 又称互用性，是指不同的计算机系统或应用程序一起工作并共享信息的能力。比较常见的实现互操作性的方式是不同系统通过API接口进行集成和对接，以实现功能或数据的集成。 3.5 可移植性Portability 是指应用程序或数据在不同的平台、环境或服务商之间进行迁移的能力。 3.6 不可变基础设施ImmutableInfrastructure 是一种基础设施变更管理的方式，主要是指不直接对运行中的云主机或容器等基础设施实例执行任何变更，而是统一基于标准镜像模板进行变更，再用变更以后的最新镜像创建新实例，然后用新实例替换运行中的实例。利用不可变基础设施可以减少攻击面，同时最大限度的保障环境配置的一致性。 4缩略语 下列缩略语适用于本文件。 APPApplication应用程序APIApplicationProgrammingInterface应用程序接口 SQLStructuredQueryLanguage结构化查询语言CI/CDContinuousIntegration/ContinuousDelivery持续集成/持续部署SaaSSoftware-as-a-Service软件即服务 PaaSPlatform-as-a-Service平台即服务 IaaSInfrastructure-as-a-Service基础设施即服务 SDKSoftwareDevelopmentKit软件开发工具包 RBACRoleBasedAccessControl基于角色的访问控制ABACAttributeBasedAccessControl基于属性的访问控制IAMIdentityandAccessManagement身份与访问管理IDaaSIdentity-as-a-Service身份验证即服务 SSOSingleSignOn单点登录PIIPersonallyIdentifiableInformation个人身份信息SLAServiceLevelAgreement服务等级协议 GUIDGloballyUniqueIdentifier全局唯一标识符APaaSApplicationPlatform-as-a-Service应用级平台即服务ISVIndependentSoftwareVendors独立软件开发商 TEETrustedExecutionEnvironment可信执行环境 SESecureElement安全元件 RASPRuntimeApplicationSelf-protect应用运行时自我保护 5云应用安全技术或能力要求 本文件对云应用应该具备的安全技术或能力要求进行了说明，主要包括云应用架构设计要求、应用运行环境安全要求、云应用程序安全要求、访问控制安全要求、租户级安全自助能力要求、云应用实施 /交付/服务安全要求、数据安全要求、安全管理能力要求共8个控制域，各控制域包含的主要控制项如图1所示，控制项详情见5.1-5.8。 图1云应用安全框架 5.1云应用架构设计要求 云资源的弹性无法保障云应用整体的弹性能力，因此在云应用的设计阶段要充分考虑架构问题，通过架构设计来保证云应用层面的弹性，从而提升云应用的稳定性。此外还应在架构设计阶段充分考虑云应用的性能和安全问题。本文件涉及的云应用架构设计要求主要包括高可用、高性能、高安全三个方面。 5.1.1高可用架构设计 云应用的架构设计应能够保障应用持续稳定运行，提升云应用的整体可用性，确保云应用满足SLA的要求。相关要求如下： 【基础要求】 a）应支持从基础设施到应用程序各层级的负载均衡；b）应支持水平扩展集群或分布式集群部署； c）应支持异地灾备； d）应支持租户级策略路由； e）应支持微服务架构，实现不同业务功能解耦；f）应具备故障检测和处理能力。 【增强要求】 a）数据存储应支持多副本架构；b）应支持双活或多活架构； c）应具备故障隔离、熔断或降级机制；d）应具备容错或故障自愈能力。 5.1.2高性能架构设计 云应用架构设计应能够保障应用高效运行，能够承载高并发或业务峰值。相关要求如下： 【基础要求】 a）应使用分库分表、读写分离或数据分片机制； b）应使用缓存技术并具备防缓存穿透或雪崩的能力；c）应使用索引技术； d）应使用消息队列技术； e）应具备全业务流程性能监测与预警能力；f）应支持冷热数据分离； g）应具备弹性能力。 【增强要求】 a）应具备应用全链路的弹性能力。 5.1.3高安全架构设计 云应用架构设计阶段应该充分考虑整体安全性，遵循必要的安全架构设计原则，本文件关注的安全设计要求如下： 【基础要求】 a）租户间资源/数据应具备充分的隔离机制；b）应遵循默认安全原则，如默认白名单；c）应遵循纵深防御/立体防御原则； 【增强要求】 a）应具备云原生安全能力。 5.2应用运行环境安全要求 运行环境是云应用依赖的操作系统、中间件、数据库等，是云应用正常运行的基础。相关要求如下： 5.2.1操作系统安全要求 【基础要求】 a）应具备安全加固的能力； b）应具备主机安全监测和防御的能力；c）应具备访问控制的能力； d）应具备漏洞管理和补丁管理的能力；e）应具备系统变更管理和监测的能力； f）应保证操作系统镜像和快照的安全性与完整性； 【增强要求】 a）支持不可变基础设施。 5.2.2容器与编排管理平台安全要求 【基础要求】 a）应具备对容器相关的配置、运行状态及资源使用进行管理和监测的能力；b）应具备对容器的访问控制能力； c）应具备容器镜像的机密性和完整性保护的能力； d）应保证进程只能执行在允许列表中明确定义的函数；e）应具备对容器进程隔离的能力。 f）应保证以非root身份构建容器； 【基础要求】 a）应能够支持对数据的加密保护； b）应具备控制管理员访问数据库及用户数据的能力；c）应具备访问控制的能力； d）应具备漏洞管理和补丁管理的能力；e）应具备审计的能力； 5.2.4中间件安全 【基础要求】 a）应具备安全加固的能力；b）应具备访问控制的能力； c）应具备漏洞管理和补丁管理的能力。 5.2.5熔断与环境隔离 【基础要求】 a）应支持租户间资源/数据的隔离； b）应支持对资源异常访问请求的熔断处理；c）应支持资源隔离失效时的访问熔断处理。 5.3云应用程序安全要求 云应用程序包含多种形式，如web、移动APP、API接口、小程序等，相关的要求如下： 5.3.1Web安全要求 Web是云应用呈现给最终用户最常见的业务形态，本文件对web安全的相关要求如下： 【基础要求】 a）应具备Web攻击检测和防御能力，如对Owasptop10漏洞的检测与防御；b）应具备输入信息过滤和校验能力； d）应具备防止业务逻辑漏洞的能力；e）应具备对攻击请求自动阻断的能力； f）应具备基于CI/CD管线的自动化代码审计能力；g）应采用RASP运行时自我保护防御能力。 5.3.2移动APP安全 移动APP安全除了技术层面的安全要求以外，还包括安全合规监管要求，本文件涉及的移动APP安全要求主要侧重于技术安全，移动APP的监管合规建议参考《个人信息保护法》、《数据安全法》和GB/T35273等相关法律法规和标准的要求： 【基础要求】 a）应具备防反编译或破解的能力，如代码混淆、设置debugable=false,allowbackup=false等；b）发布前必须执行安全加固； c）应支持APP安装包的完整性较验； d）应该支持多种身份认证机制，如账号密码、生物识别、短信验证等；e）应加密用户提交的凭证信息； f）应仅支持安装在内部存储，不应将文件设置为全局可读或可写权限；g）APP客户端不应存储个人敏感信息； h）应限制导出关键组件，如Service、Provider、Receiver等；i）应具备检查设备是否被root或被越狱的能力； j）移动APP的功能设计应该符合应用商店审核要求。 【增强要求】 a）应支持APP界面上个人信息默认脱敏显示；b）APP界面应支持水印； c）应支持登录设备管理和会话强制退出； d）移动APP的功能设计应符合监管合规要求； e）对移动APP采用基于可信执行环境+安全元件（TEE+SE）的安全保护方案。 5.3.3API接口安全要求 【