CSA大中華區發布《云原生安全(quan)技術規范》。

本規范主要為了提升云(yun)原(yuan)生(sheng)類產品(pin)技(ji)術，幫助更多安全(quan)從業(ye)人(ren)員解(jie)決在規劃、實施和維護(hu)云(yun)原(yuan)生(sheng)安全(quan)架構時遇(yu)到(dao)的(de)(de)問題(ti)，針對云(yun)原(yuan)生(sheng)安全(quan)體(ti)系中涉及(ji)的(de)(de)每類技(ji)術制定的(de)(de)標(biao)準。

本規范(fan)適(shi)用于為云原(yuan)生類(lei)產品(pin)廠商(shang)或(huo)甲方構建安全的云原(yuan)生類(lei)產品(pin)提供參考(kao)和指導。

描述了前(qian)述的云(yun)原(yuan)生(sheng)安(an)(an)全(quan)(quan)框架。其中(zhong)，橫軸是開發運營安(an)(an)全(quan)(quan)維度，涉需求(qiu)(qiu)設(she)計(ji) （Plan）、開發（Dev）、運營階段(Ops)，細分(fen)為需求(qiu)(qiu)、設(she)計(ji)、編碼、測(ce)(ce)試、集成、交付、 防護、檢測(ce)(ce)、響(xiang)應(ying)階段，但考(kao)慮到響(xiang)應(ying)安(an)(an)全(quan)(quan)能力要求(qiu)(qiu)在(zai)不(bu)同云(yun)原(yuan)生(sheng)技術層差異性較大，本 標準不(bu)涉及(ji)響(xiang)應(ying)階段；而(er)縱軸則(ze)是按照(zhao)云(yun)原(yuan)生(sheng)系統(tong)和技術的層次劃分(fen)，包(bao)括容(rong)(rong)器(qi)(qi)基(ji)礎設(she)施 安(an)(an)全(quan)(quan)、容(rong)(rong)器(qi)(qi)編排平臺安(an)(an)全(quan)(quan)、微服(fu)(fu)務(wu)安(an)(an)全(quan)(quan)、服(fu)(fu)務(wu)網格安(an)(an)全(quan)(quan)、無服(fu)(fu)務(wu)器(qi)(qi)計(ji)算安(an)(an)全(quan)(quan)五個部(bu)分(fen)。 其中(zhong)，從(cong)云(yun)原(yuan)生(sheng)安(an)(an)全(quan)(quan)的視角，云(yun)原(yuan)生(sheng) IT 系統(tong)各(ge)層所需的安(an)(an)全(quan)(quan)要求(qiu)(qiu)從(cong)容(rong)(rong)器(qi)(qi)基(ji)礎設(she)施安(an)(an) 全(quan)(quan)、容(rong)(rong)器(qi)(qi)編排系統(tong)安(an)(an)全(quan)(quan)，直(zhi)至無服(fu)(fu)務(wu)器(qi)(qi)計(ji)算安(an)(an)全(quan)(quan)，對(dui)應(ying)圖中(zhong)藍色標注部(bu)分(fen)。

此外，從 DevSecOps 的(de)視角(jiao)，涉及的(de)能力范圍幾乎覆蓋了橫軸的(de)各個階段，可以(yi)參考 圖中紫色(se)標注部分。

最(zui)后，云(yun)原生安(an)(an)全(quan)(quan)體系各層都(dou)有認證授(shou)權、監控追蹤和日志審計等通(tong)用的安(an)(an)全(quan)(quan)要求， 這(zhe)些(xie)通(tong)用技術能力覆蓋 DevSecOps 中(zhong)(zhong) Ops 階段，見(jian)圖 1 中(zhong)(zhong)黃色標(biao)注部分。

附件：CSA-《云原生安全技術規范》