CSA云计算安全技术要求-SaaS 安全技术要求
控制域 | 基本要求 | 增强要求 | |||
访问层安全 | 网络访问安全 | a) 应支持保护用户访问SaaS系统中资源时通信消息的完整性和机密性的能力; b) 应支持用户访问SaaS系统中的资源前通过用户鉴别和鉴权的能力。 | / | ||
API访问安全 | a) 应支持服务API调用前进行用户鉴别和鉴权的能力; b) 应支持涉及租户资源操作的服务API调用前验证用户凭据的能力; c) 应支持用户调用服务API的访问控制能力; d) 应支持服务API接口的防范重放、代码注入、DoS/DDoS等攻击的能力; e) 应支持服务API接口安全传输的能力; f) 应支持服务API接口过载保护的能力,保障不同服务等级用户间业务的公平性和系统资源利用最大化; g) 应支持服务API的调用日志记录的能力。 | / | |||
Web访问安全 | a) 应支持Web代码安全机制的能力,包括对输入输出进行有效性检查,以及采取防范认证漏洞、 权限漏洞、会话漏洞、Web服务漏洞、注入漏洞等代码漏洞的措施; b) 应支持用户可以通过Web所访问资源的访问控制能力; c) 应支持Web远程访问安全传输的能力。 | / | |||
资源层安全 (基础资源由IaaS服务提供商提供时,IaaS安全技术标准参考《云计算安全技术要求 第3部分:IaaS安全技术要求》) | 物理资源安全 | 物理与环境安全 | 参考业界最佳实践 | ||
基础硬件安全 | a) 应支持物理主机外设管理的能力; b) 应支持硬件部分损坏情况下数据恢复的能力。 | a) 应支持检测服务器或存储设备硬件发生变更并予以提示的能力 | |||
网络安全 | 网络架构安全 | a) 应支持绘制与当前运行情况相符的网络拓扑结构图,支持对网络拓扑进行实时更新和集中监控的能力; b) 应支持划分为不同的网络区域,并且不同区域之间实现逻辑隔离能力; c) 应支持云计算平台管理网络与业务网络逻辑隔离的能力; d) 应支持云计算平台业务网络和管理网络与租户私有网络逻辑隔离能力; e) 应支持云计算平台业务网络和管理网络与租户业务承载网络逻辑隔离的能力; f) 应支持租户业务承载网络与租户私有网络逻辑隔离的能力; g) 应支持网络设备(包括虚拟化网络设备)和安全设备业务处理能力弹性扩展能力; h) 应支持高可用性部署,在一个区域出现故障(包括自然灾害和系统故障)时,自动将业务转离受影响区域的能力。 | a) 应支持指定带宽分配优先级别的能力; b) 应支持虚拟化网络边界的访问控制; c) 应支持区域边界的双向访问控制,控制从内往外和从外往内流量的能力。 | ||
网络边界安全 | a) 应支持对进出云计算平台业务网络和管理网络的信息进行过滤的能力; b) 应支持对云计算平台管理网络最大流量及单用户网络连接数的限制能力; c) 应支持对云计算平台管理员访问管理网络的访问控制能力; d) 应支持对云计算平台业务网络和管理网络的非法连接检测及阻断能力;(注:非法连接包括从外部网络非法连接到内部网络,以及从内部网络非法连接到外部网络两种情况) e) 应支持对网络边界管理设备受控接口ACL策略支持自动化更新能力; f) 应支持对恶意虚拟机的隔离能力,支持阻断恶意虚拟机与外部网络以及和其他虚拟机的通信能力; g) 应支持对云计算平台DDoS攻击防护的能力; h) 应支持对Web应用漏洞进行检测和防护的能力; i) 应支持网络边界流量监控、攻击和入侵行为检测的能力; j) 应支持对恶意代码进行检测和处置的能力; k) 应支持在不同安全等级的区域之间通信时采用安全传输的能力。 | a) 应支持接入第三方安全产品或服务进行不同网络区域之间、租户网络之间的网络安全防护能力; b) 应支持对云计算平台内部虚拟机发起的攻击检测与防护能力,检测出发起攻击的虚拟机,并能记录攻击类型、攻击时间、攻击流量等。(注:内部虚拟机发起的攻击,包括对云计算平台业务网络、管理网络、租户业务承载网络、其他租户私有网络、外部网络等发起的攻击) | |||
网络授权及审计 | a) 应支持对网络设备(包括虚拟化网络设备)的管理员登录地址进行限制的能力; b) 应支持登录网络设备(包括虚拟化网络设备)失败处理的能力; c) 应支持网络设备(包括虚拟化网络设备)管理员登录采用两种或两种以上组合的鉴别技术来进行身份鉴别能力; d) 应支持对网络设备(包括虚拟化网络设备)远程管理时采用安全传输能力; e) 应支持对网络设备(包括虚拟化网络设备)远程管理时特权命令进行限制的能力; f) 应支持对网络设备(包括虚拟化网络设备)管理员权限最小化的能力; g) 应支持对网络设备(包括虚拟化网络设备)管理员登录时用户标识唯一能力; h) 应支持区域边界处的网络设备(包括虚拟化网络设备)和安全设备的日志记录、审计报表能力 | / | |||
虚拟资源安全 | 资源管理平台安全 | 计算资源管理平台安全 | a) 应支持对代码进行安全测试并进行缺陷修复的能力; b) 应支持限制虚拟机对物理资源的直接访问,支持对物理资源层的调度和管理均受虚拟机监视器控制的能力; c) 应支持对计算资源管理平台的攻击行为进行监测和告警的能力,检测到攻击行为时,应能够记录攻击的源IP、攻击的类型、攻击的目的、攻击的时间; d) 应支持最小安装的原则,仅安装必要的组件和应用程序的能力; e) 应支持禁用无需使用的硬件能力; f) 应支持虚拟机和虚拟化平台间内部通信通道的受限使用能力; g) 应支持组件间通信采用安全传输的能力; h) 应支持管理命令采用安全传输的能力; i) 应支持内核补丁更新、加固及防止内核提权的能力; j) 应支持对恶意代码进行检测和处置的能力; k) 应支持监视计算资源管理平台远程管理连接,中断未授权管理连接的能力; l) 应支持对远程执行计算资源管理平台特权管理命令进行限制的能力; m) 应支持资源监控的能力,资源监控的内容包括CPU利用率、带宽使用情况、内存利用率、存储使用情况等; n) 应支持系统过载保护,保障业务公平性和系统资源利用率最大化的能力; o) 应支持禁止计算资源管理平台管理员未授权操作租户资源的能力;(注:租户资源包括已分配给租户的网络、数据库、存储空间、租户虚拟机以及租户虚拟机上的OS、应用程序等。) p) 应支持计算资源管理平台镜像文件完整性保护的能力; q) 应支持第三方安全产品或服务接入的API接口能力。 | a) 应支持对核心软件源代码进行审查并识别后门的能力; b) 应支持重要程序安全启动的能力;(注:安全启动的软件应该是与预期软件版本一致,没有被篡改。) c) 应支持对重要配置文件完整性检测的能力; d) 应支持软件白名单的能力; e) 应支持对非授权组件或设备(包括软件、硬件和固件)的检测,检测到非授权的组件或设备时应支持禁止其网络访问或对其进行隔离或告警的能力; f) 应支持对重要程序运行状态下完整性保护的能力; g) 应支持虚拟机启动过程的完整性保护的能力; h) 应支持虚拟机运行过程的完整性保护的能力。 | |
saas建站系统存储资源管理平台安全 | a) 应支持对代码进行安全测试并进行缺陷修复的能力; b) 应支持对攻击行为进行监测和告警的能力,检测到攻击行为时,能够记录攻击的源IP、攻击的类型、攻击的目的、攻击的时间; c) 应支持组件间通信采用安全传输的能力; d) 应支持管理命令采用安全传输的能力; e) 应支持内核补丁更新、加固及防止内核提权的能力; f) 应支持对恶意代码进行检测和处置的能力; g) 应支持监视存储资源管理平台远程管理连接,发现未授权管理连接时中断连接的能力; h) 应支持对远程执行存储资源管理平台特权管理命令进行限制的能力; i) 应支持资源监控的能力,资源监控的内容包括CPU利用率、带宽使用情况、内存利用率、存储使用情况等; j) 应支持系统过载保护,保障业务公平性和系统资源利用率最大化的能力; k) 应支持禁止平台管理员未授权操作租户资源的能力; l) 应支持数据存储机密性保护的能力; m) 应支持数据存储完整性保护的能力; n) 应支持数据存储可用性保护的能力; o) 应支持数据的异地备份和备份数据一致性的能力; p) 应支持租户访问存储的安全传输的能力。 | a) 应支持对核心软件源代码进行审查并识别后门的能力; b) 应支持对重要程序安全启动的能力;(注:安全启动的软件应该是与预期软件版本一致,没有被篡改的) c) 应支持对重要配置文件完整性检测的能力; d) 应支持对非授权组件或设备(包括软件、硬件和固件)的检测,检测到非授权的组件或设备时应支持禁止其网络访问或对其进行隔离或告警的能力。 e) 应支持软件白名单的能力; f) 应支持对用户上传的数据进行加密的能力; g) 应支持对用户的密钥管理的能力; h) 应支持对用户的密钥由租户自管理或第三方管理的能力; i) 应支持数据多副本存储的能力,支持不同副本数据至少分布存储在两个机架上; j) 应支持异地备份的能力,支持自动跨集的数据同步能力; k) 应支持存储层面的跨数据中心的同步或异步复制的能力。 | |||
虚拟资源空间安全 | 虚拟化计算安全 | a) 应支持在虚拟机之间以及虚拟机与宿主机之间CPU安全隔离的能力,包括如下要求: 1) 在某个虚拟机发生异常(包括崩溃)后不影响其他虚拟机和宿主机; 2) 虚拟机不能访问其他虚拟机或宿主机的CPU寄存器信息。 b) 应支持在虚拟机之间以及虚拟机与宿主机之间内存安全隔离的能力,包括如下要求: 1) 分配给虚拟机的内存空间,其他虚拟机和宿主机不能访问; 2) 防止虚拟机占用过多内存资源,超过设定的规格,影响其他虚拟机正常运行; 3) 某个虚拟机发生异常(包括崩溃)后不影响其他虚拟机和宿主机; 4) 能够禁止虚拟机和其他虚拟机、宿主机之间拷贝或粘贴动作,如通过剪贴板的共享和复制。 c) 应支持在虚拟机之间以及虚拟机与宿主机之间存储空间安全隔离的能力,包括如下要求: 1) 分配给虚拟机的存储空间,其他虚拟机和宿主机不能访问; 2) 防止虚拟机占用过多存储资源,超过设定规格,影响其他虚拟机正常运行; 3) 某个虚拟机发生异常(包括崩溃)后不影响其他虚拟机和宿主机。 d) 应支持一个虚拟机逻辑卷同一时刻只能被一个虚拟机挂载的能力: e) 应支持根据租户所选择的服务级别进行虚拟机存储位置分配的能力; f) 应支持实时的虚拟机监控,对虚拟机的运行状态、资源占用、迁移等信息进行监控和告警的能力。 | a) 应支持对虚拟机所在物理机范围进行指定或限定的能力。 | ||
虚拟化网络安全 | a) 应支持不同租户的虚拟化网络之间安全隔离的能力; b) 应支持租户的虚拟化网络与云计算平台的业务和管理网络之间安全隔离的能力,包括如下要求: 1) 云计算平台管理员,无法通过云计算平台的业务和管理网络访问租户私有网络; 2) 租户无法通过私有网络访问云计算平台的业务和管理网络; 3) 租户无法通过私有网络访问宿主机。 c) 应支持虚拟私有云VPC的能力,包括如下要求: 1) 租户完全控制VPC虚拟网络,包括能够选择自有 IP 地址范围、创建子网,以及配置路由表和网关; 2) 租户可以在自己定义的VPC虚拟网络中启动云服务的资源,如虚拟机实例; 3) 对VPC的操作,如创建或删除VPC,变更路由、安全组和ACL策略等,需要验证租户凭证。 d) 应支持VPC之间连接的能力,包括同一个租户的不同VPC之间和不同租户VPC之间的连接能力; e) 应支持安全组,提供虚拟化网络安全隔离和控制的能力,包括如下要求: 1) 可以过滤虚拟机实例出入口的流量,控制的规则可以由租户自定义; 2) 支持根据IP协议、服务端口及IP地址进行限制的能力。 f) 应支持网络访问控制列表ACL,提供虚拟化网络安全隔离和控制的能力,要求基于IP协议、服务端口和源或目的IP地址,允许或拒绝流量; g) 应支持虚拟私有网关,提供VPC与其他网络建立VPN私有连接的能力; h) 应支持互联网网关,提供NAT功能,支持VPC与互联网连接的能力; i) 应支持租户虚拟化网络关闭混杂模式的能力; j) 应支持防止虚拟机使用虚假的IP或MAC地址对外发起攻击的能力; k) 应支持防虚拟机VLAN或 VXLAN跳跃攻击的能力; l) 应支持不同租户的虚拟机之间以及虚拟机与宿主机之间网络流量监控的能力; m) 应支持租户对其所拥有的不同虚拟机之间网络流量进行监控的能力。 | / | |||
虚拟化存储安全 | a) 应支持租户设置虚拟化存储数据的访问控制策略的能力; b) 应支持租户本地数据与虚拟化存储之间的安全上传和下载的能力; c) 应支持租户间的虚拟化存储空间安全隔离,其他租户或者云计算平台管理员非授权不能访问的能力; d) 应支持根据租户所选择的服务级别进行存储位置分配的能力。 | / | |||
迁移安全 | a) 应支持虚拟机的安全策略随虚拟机的迁移而迁移的能力; b) 应支持虚拟机迁移机密性保护的能力; c) 应支持虚拟机迁移完整性保护的能力。 | / | |||
虚拟化组件安全加固 | a) 应支持租户对云计算平台提供的镜像文件模板加固的能力; b) 应支持租户镜像文件访问控制,其他租户或者云计算平台管理员非授权不能访问的能力; c) 应支持租户快照文件访问控制能力,其他租户或者云计算平台管理员非授权不能访问的能力; d) 应支持租户虚拟机镜像文件完整性保护的能力; e) 应支持租户快照文件完整性保护的能力。 | a) 应支持镜像文件的安全传输的能力; b) 应支持租户虚拟机镜像文件加密的能力。 | |||
剩余数据保护 | a) 应支持虚拟机所使用的内存回收时完全清除的能力;(注:完全清除指采用非物理手段无法恢复) b) 应支持虚拟机所使用的存储空间回收时完全清除的能力; c) 应支持租户虚拟机删除时,租户数据完全清除的能力;租户虚拟机删除时,需要清除的数据包括租户镜像文件、快照文件、备份等数据; d) 应支持租户虚拟化存储数据完全清除的能力;虚拟化存储数据完全清除,包括虚拟化存储空间上的数据,备份的数据,也包括在租户完成本地数据与虚拟化存储之间安全上传、下载数据后存储网关等辅助设备上的数据等。 e) 应支持租户备份存储空间释放时,对应存储空间上租户数据完全清除的能力; f) 应支持虚拟机迁移时原存储空间数据完全清除的能力。 | / | |||
服务层安全 | 网络安全 | a) 应支持划分为不同的网络区域,以及不同区域之间逻辑隔离的能力; b) 应支持SaaS系统管理网络与SaaS系统业务网络逻辑隔离的能力; c) 应支持SaaS系统业务和管理网络与SaaS租户业务网络逻辑隔离的能力; d) 应支持主要网络设备(包括虚拟化网络设备)以及安全设备业务处理能力弹性扩展的能力; e) 应支持网络高可用性部署,在系统出现部分故障时,自动将业务转离受影响系统的能力; f) 应支持系统管理员登录管理网络访问控制的能力; g) 应支持对管理网络最大流量及单用户网络连接数限制的能力; h) 应支持对进出SaaS系统业务和管理网络的信息内容进行过滤的能力; i) 应支持对SaaS系统管理网络远程管理时特权命令进行限制的能力; j) 应支持对SaaS系统网络边界管理设备受控接口ACL策略自动化更新的能力; k) 应支持绘制与当前运行情况相符的网络拓扑结构图,并能对网络资源、网络拓扑进行实时更新和集中监控的能力; l) 应支持对SaaS系统DDoS攻击防护的能力; m) 应支持对SaaS系统网络边界流量监控、攻击和入侵行为检测的能力; n) 应支持SaaS租户采用VPN通道访问SaaS服务的能力; o) 应支持在不同安全等级的区域之间通信时采用安全传输的能力; p) 应支持对网络设备(包括虚拟化网络设备)的管理员登录地址进行限制的能力; q) 应支持登录网络设备(包括虚拟化网络设备)失败处理的能力; r) 应支持网络设备(包括虚拟化网络设备)管理员登录采用两种或两种以上组合的鉴别技术来进行身份鉴别的能力; s) 应支持对网络设备(包括虚拟化网络设备)远程管理时采用安全传输的能力; t) 应支持对网络设备(包括虚拟化网络设备)管理员权限最小化的能力; u) 应支持对网络设备(包括虚拟化网络设备)管理员登录时用户标识唯一的能力; v) 应支持区域边界处的网络设备和安全设备的日志记录、审计报表的能力。 | / | ||
主机安全 | a) 应支持主机安全加固的能力; b) 应支持主机入侵检测和防范的能力; c) 应支持主机恶意代码防护的能力。 | a) 应支持重要配置文件完整性保护的能力; b) 应支持主机安全启动的能力; 注:安全启动指启动时的版本和预期是一致的,完整性没有受到破坏。 c) 应支持主机运行过程完整性保护的能力。 | |||
SaaS资源管理平台安全 | a) 应支持对代码进行安全测试并进行缺陷修复的能力; b) 应支持安全加固的能力; c) 应支持对资源管理平台攻击行为进行监测和告警的能力,检测到攻击行为时,能够记录攻击的源IP、攻击的类型、攻击的目的、攻击的时间; d) 应支持对恶意代码进行检测和处置的能力; e) 应支持对Web应用漏洞进行检测和防护的能力; f) 应支持监视远程管理连接,发现未授权管理连接时中断连接的能力; g) 应支持对远程执行SaaS平台特权管理命令进行限制的能力; h) 应支持最小化安装,仅安装必要的组件和应用程序的能力; i) 应支持资源集中监控的能力; j) 应支持过载保护,保障业务公平性和系统资源利用最大化的能力; k) 应支持用户故障安全隔离的能力,单个SaaS租户业务故障,不影响其他用户; l) 应支持可用性,部分系统故障不影响提供SaaS服务的能力; m) 应支持禁止系统管理员直接访问查看租户数据的能力; n) 应支持SaaS租户会话安全的能力,包括支持唯一会话标识、会话超时、保护会话Cookie、会话注销等; o) 应支持用户权限控制的能力,支持限制用户功能权限和数据访问权限; p) 应支持设置用户权限最小化的能力; q) 应支持对单个账户的多重并发会话进行限制的能力; r) 应支持控制SaaS租户使用资源的能力,限制租户不超范围使用资源; s) 应支持SaaS租户的资源使用监控,支持资源异常提醒的能力; t) 应支持记录SaaS应用系统的登录日志的能力,包括记录用户成功/失败的认证/登录、用户注销、超时退出等活动; u) 应支持记录对用户信息管理日志的能力,包括记录用户和用户权限的增删改以及密码的修改和重置等活动; v) 应支持记录数据操作日志的能力,包括记录应用系统中存放的业务数据进行操作(查询、修改、删除等)的活动; w) SaaS资源管理平台应支持向SaaS租户提供审计日志的能力。 | a) 应支持对核心软件源代码进行审查并识别后门的能力; b) 应支持安全启动的能力; 注:安全启动指启动时的版本和预期是一致的,完整性没有受到破坏。 c) 应支持对重要配置文件完整性检测的能力; d) 应支持对重要程序运行状态下完整性保护的能力; e) 应支持软件白名单的能力; f) 应支持组件间通信采用安全传输的能力; g) 应支持补丁升级不影响业务正常运行的能力; h) 应支持SaaS租户自定义网络访问控制的能力,自定义允许登陆SaaS系统的IP地址列表; i) 应支持向SaaS租户提供统一获取日志接口的能力。 | |||
数据安全 | a) 应支持数据的高可用性,支持租户数据所在系统故障时不会导致数据丢失的能力; b) 应支持租户数据完整性保护的能力,支持租户数据不被未授权的篡改或在篡改后能够被迅速发现; c) 应支持租户数据隐私保护,禁止未授权访问和使用用户隐私信息的能力; d) 应支持数据安全传输的能力。 | a) 应支持租户数据加密算法满足业务部署所在区域算法合规性要求的能力。 b) 应支持为租户提供密钥管理的能力; c) 应支持租户密钥由租户或第三方管理的能力。 | |||
租户虚拟资源空间安全 | a) 应支持租户间SaaS服务的安全隔离,SaaS租户只能访问和操作自己SaaS服务资源的能力; b) 应支持限制SaaS系统管理员未授权访问SaaS租户应用资源的能力; c) 应支持租户间的数据安全隔离,SaaS租户只能访问和操作自己SaaS服务数据的能力; d) 应支持限制SaaS系统管理员未授权访问SaaS租户数据的能力; e) 应支持由SaaS租户自行定义和设置数据备份和数据导出权限的能力; f) 应支持由SaaS租户自行定义和设置数据重置权限的能力; g) 应支持SaaS租户的应用和数据存储资源回收时应删除租户相关数据的能力; h) 应支持SaaS租户退租后删除租户相关数据,包括删除备份和归档数据的能力。 | a) 应支持SaaS租户间采用不同实例或主机隔离的能力; b) 应支持SaaS租户间采用独立数据库或独立Schema或独立数据表实现数据隔离的能力; c) 应支持数据导出加密的能力。 | |||
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论