云安全联盟：云应用安全技术规范（15页）.pdf

1、I云应用安全技术规范C S A 云安全联盟标准CSA GCR C0012022云安全联盟大中华区发 布Cloud Application Security Technology Specification2022 - 03 - 09 发布II目目次次前 言.III1 范围.12 规范性引用文件.13 术语和定义.14 缩略语.25 云应用安全技术或能力要求.25.1 云应用架构设计要求.35.2 应用运行环境安全要求.45.3 云应用程序安全要求.55.4 访问控制安全要求.75.5 租户级安全自助能力要求.95.6 云应用实施/交付/服务安全要求.95.7 数据安全要求.105.8 安全管理

2、能力要求.11III前言本文件按照 GB/T 1.1-2020标准化工作导则第 1 部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由云安全联盟大中华区归口。本文件主要起草单位：北森云计算有限公司、公安部第三研究所、北京华为数字技术有限公司、中国信息通信研究院、北京江南天安科技有限公司、北京金山云网络技术有限公司、北京奇虎科技有限公司、北京神州数码云计算有限公司、北京数字认证股份有限公司、北京天融信网络安全技术有限公司、广州赛宝认证中心服务有限公司、杭州安恒信息技术股份有限公司、杭州迪普科技股份有限公司、杭州默安科

3、技有限公司、江苏保旺达软件技术有限公司、启明星辰信息技术集团股份有限公司、融联易云金融信息服务（北京）有限公司、上海安几科技有限公司、上海派拉软件股份有限公司、深信服科技股份有限公司、深圳国家金融科技测评中心有限公司、深圳市联软科技股份有限公司、顺丰科技有限公司、腾讯云计算（北京）有限责任公司、网宿科技股份有限公司、浙江大华技术股份有限公司、浙江瀛云科技有限公司、中国电信股份有限公司研究院。本文件主要起草人：李雨航、郭鹏程、陈妍、李强、罗斌、柴瑶琳、王冬冬、于丽芳、王玉常、陈强、李向锋、王龑、刘克松、毛润华、仇俊杰、孟瑾、杜有为、杨天识、于跃、容晓琳、茆正华、雷若琦、吴祖顺、侯俊、马超、王永霞

4、、朱梦婷、尚玉红、王方军、姚凯、何国锋。CSA GCR C001202211范围本文件确立云应用产品应该具备的安全相关的技术或能力要求。云应用包括但不限于SaaS云应用、PaaS和IaaS云的应用程序部分。云应用提供服务的形式可以是web应用、移动APP、API接口等。本文件为云应用厂商或甲方构建安全的云应用产品提供参考和指导， 为云客户选择安全的云应用产品提供参考和指南。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 标注日期的引用文件，仅该日期所对应的版本适用于本文件；不标注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 25

5、069-2010 信息安全技术 术语GB/T 35273-2020 信息安全技术 个人信息安全规范GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求CSA云计算安全技术要求 SaaS安全技术要求ISO/IEC 27001 信息安全管理3术语和定义3.1云应用Cloud Application是以云的形式提供服务的应用，包括但不限于SaaS云应用、PaaS和IaaS云的应用程序部分。云应用提供服务的形式可以是web应用、移动APP、API接口等。3.2云应用厂商 Cloud Application Provider是指为客户提供云应用及相关服务的厂商，又称云应用提供商。3.3

6、云应用租户 Cloud Application Tenant是指云应用的购买方或使用方，可以是企业也可以是个人。3.4互操作性 Interoperability又称互用性， 是指不同的计算机系统或应用程序一起工作并共享信息的能力。 比较常见的实现互操作性的方式是不同系统通过API接口进行集成和对接，以实现功能或数据的集成。3.5可移植性 Portability是指应用程序或数据在不同的平台、环境或服务商之间进行迁移的能力。CSA GCR C001202223.6不可变基础设施 Immutable Infrastructure是一种基础设施变更管理的方式， 主要是指不直接对运行中的云主机或容器等