CSA云计算安全技术要求IaaS安全技术要求表格版

云计算安全技术规定安全技术规定CSA.IaaS控制域基本规定增强规定a）应支持保护顾客访问云计算中的资源时通信消息区1完整性和机密性的1能力；b）网络访问安全/应支持顾客访问云计算中的资源前通过顾客鉴别和鉴权的能力；a）应支持服务API调用前进行顾客鉴别和鉴权的能力；b）应支持波及租户资源操作的服务API调用前验证租户凭证的能力；c）应支持顾客调用服务API的访问控制能力；d）应支持服务API接口的防备重放、代码注入、DoS/DDoS等袭击时能力；API访问安全/访问层e）应支持服务API接口安全传播能力；安全f）应支持服务API接口过载保护能力，规定实现不一样服务等级顾客间业务的1公平性和系统整体处理能力的最大化；g）应支持服务API的调用日志记录能力a）应支持Web代码安全机制的能力，包括对输入输出进行有效性检查，以及采用防备认证漏洞、权限漏洞、会话漏洞、Web服务漏洞、注入漏洞等代码漏洞的措施；b）应支持Web访问安全/对顾客通过Web访问资源进行访问控制日勺能力；c）应支持Web远程访问安全传播的能力物理与环境安全参照业界最佳实践a）应支持物理主机外设管理的1能力；a）应支持检测服务器或存储设备硬件发生变更基础硬件安全b）应支持硬件部分损坏状况下数据恢复的1能力并予以提醒日勺能力源a）应支持绘制与目前运行状况相符的网络拓扑构造图，支持对网络拓扑进行实时更新和a）应支持指定带宽分派优先级别H勺能力；b）安集中监控的能力；应支持虚拟化网络边界的访问控制；c）应支持全物理资源b）应支持划分为不一样的网络区域，并且不一样区域之间实现逻辑隔离能力；区域边界日勺双向访问控制，控制从内往外和资安全c）应支持云计算平台管理网络与业务网络逻辑隔离的能力；从外往内流量的能力网络安网络架构层d）应支持云计算平台业务网络和管理网络与租户私有网络逻辑隔离能力；全全安全e）应支持云计算平台业务网络和管理网络与租户业务承载网络逻辑隔离的能力；f）应支持租户业务承载网络与租户私有网络逻辑隔离日勺能力；g）应支持网络设备（包括虚拟化网络设备）和安全设备业务处理能力弹性扩展能力；日勺能力a）应支持为租户提供文献加密服务的能力；b）应支持为租户提供数据卷加密服务的能力；c）版支持为租户提供系统卷加密服务日勺能力；d）应支持为租户提供密钥管理服务的1能力；e）应支持租户密钥由租户自管理或第三方管理数据安全服务/H勺能力；n应支持为租户提供备份和恢复服务口勺能力；g）遍支持为租户数据提供完整性验证服务的能力a）应支持为租户提供内容安全服务的能力，提供对敏感内容的1检测；b）应支持为租户系统提供运维审计服务口勺能力；c）应支持为租户内部网络提供安全监控服务的a）应支持为租户提供安全日志服务的能力，安全日志包括登录日志、资源祈求日志、API能力；（注安全监控服务为租户提供租户内审计与合规安全服务调用口志等部网络安全监控）d）应支持为租户提供安全审计服务的能力；（注安全审计服务是根据租户业务需求或合规性需求,提供租户包括但不限于审计日志搜集、存储、分析、查阅和审计响应日勺功能服务，并可定期出具审计分析汇报）a）应支持为租户提供安全情报或安全态势感知安全情报服务/服务的能力h）应支持高可用性布署，在一种区域出现故障（包括自然灾害和系统故障）时，自动将业务转离受影响区域的能力a）应支持对进出云计算平台业务网络和管理网络日勺信息进行过滤的能力；a）应支持接入第二方安全产品或服务进行不b）应支持对云计算平台管理网络最大流量及单顾客网络连接数的限制能力；一样网络区域之间、租户网络之间的网络安全c）应支持对云计算平台管理员访问管理网络日勺访问控制能力；防护能力；d）应支持对云计算平台业务网络和管理网络H勺非法连接检测及阻断能力；（注非法b）应支持对云计算平台内部虚拟机发起H勺连接包括从外部网络非法连接到内部网络，以及从内部网络非法连接到外部网络两种状袭击检测与防护能力，检测出发起袭击的虚拟况）机，并能记录袭击类型、袭击时间、袭击流量网络边界e）应支持对网络边界管理设备受控接口ACL方略支持自动化更新能力；等（注内部虚拟机发起的袭击，包括对云安全f）应支持对恶意虚拟机日勺隔离能力，支持阻断恶意虚拟机与外部网络以及和其他虚拟计算平台业务网络、管理网络、租户业务承载机的通信能力；网络、其他租户私有网络、外部网络等发起日g）应支持对云计算平台DDoS袭击防护区|能力；勺袭击）h）应支持对Web应用漏洞进行检测和防护的能力；i）应支持网络边界流量监控、袭击和入侵行为检测的能力；j）应支持对恶意代码进行检测和处置的能力；k）应支持在不一样安全等级的区域之间通信时采用安全传播日勺能力a）应支持对网络设备（包括虚拟化网络设备）的管理员登录地址进行限制的能力；b）应支持登录网络设备（包括虚拟化网络设备）失败处理的能力；c）应支持网络设备（包括虚拟化网络设备）管理员登录采用两种或两种以上组合日勺鉴别技术来进行身份鉴别能力；网络授权d）应支持对网络设备（包括虚拟化网络设备）远程管理时采用安全传播能力；/及审计e）应支持对网络设备（包括虚拟化网络设备）远程管理时特权命令进行限制日勺能力；f）应支持对网络设备（包括虚拟化网络设备）管理员权限最小化日勺能力；g）应支持对网络设备（包括虚拟化网络设备）管理员登录时顾客标识唯一能力；h）应支持区域边界处的网络设备（包括虚拟化网络设备）和安全设备的日志记录、审计报表能力a）应支持对代码进行安全测试并进行缺陷修复的能力；a）应支持对关键软件源代码进行审查并识别b）应支持限制虚拟机对物理资源日勺直接访问，支持对物理资源层的调度和管理均受虚后门的能力；资源管计算资源虚拟资源拟机监视器控制的能力；b）应支持重要程序安全启动的能力；（注安理平台管理平台安全c）应支持对计算资源管理平台日勺袭击行为进行监测和告警的能力，检测到袭击行为时，全启动的软件应当是与预期软件版本一致，没安全安全应可以记录袭击日勺源IP、袭击的类型、袭击的目的、袭击的时间；有被篡改）d）应支持最小安装日勺原则，仅安装必要的组件和应用程序的1能力；c）应支持对重要配置文献完整性检测时能力；e）应支持禁用无需使用的硬件能力；d）应支持软件白名单的能力；f）应支持虚拟机和虚拟化平台间内部通信通道的受限使用能力；g）应支持组件间通信采用安全传播的能力；e）应支持对非授权组件或设备（包括软件、硬h）应支持管理命令采用安全传播的能力；件和固件）的检测，检测到非授权的组件或设i）应支持内核补J更新、加固及防止内核提权日勺能力；备时应支持严禁其网络访问或对其进行隔离或j）应支持对恶意代码进行检测和处置的能力；告警口勺能力；k）应支持监视计算资源管理平台远程管理连接，中断未授权管理连接的1能力；f）应支持对重要程序运行状态下完整性保护的1）应支持对远程执行计算资源管理平台特权管理命令进行限制的能力；能力；m）应支持资源监控的）能力，资源监控的内容包括CPU运用率、带宽使用状况、内存运g）应支持虚拟机启动过程的完整性保护日勺能用率、存储使用状况等；力；n）应支持系统过载保护，保障业务公平性和系统资源运用率最大化的能力；h）应支持虚拟机运行过程的完整性保护日勺能0）应支持严禁计算资源管理平台管理员未授权操作租户资源日勺能力；（注租户资源力包括已分派给租户的网络、数据库、存储空间、租户虚拟机以及租户虚拟机上的0S、应用程序等）p）应支持计算资源管理平台镜像文献完整性保护的能力；q）应支持第三方安全产品或服务接入日勺API接口能力a）应支持对代码进行安全测试并进行缺陷修复的能力；a）应支持对关键软件源代码进行审查并识别后b）应支持对袭击行为进行监测和告警日勺能力，检测到袭击行为时，可以记录袭击日勺门的能力;源IP、袭击的类型、袭击H勺目H勺、袭击的时间；b）应支持对重要程序安全启动的能力；（注c）应支持组件间通信采用安全传播的J能力；安全启动的软件应当是与预期软件版d）应支持管理命令采用安全传播的能力；本一致，没有被篡改的）e）应支持内核补丁更新、加固及防止内核提权的能力；C）应支持对重要配置文献完整性检测的能力;f）应支持对恶意代码进行检测和处置日勺能力；d）而支持对非授权组件或设备（包括软件、硬存储资源g）应支持监视存储资源管理平台远程管理连接，发现未授权管理连接时中断连接日勺能件和固件）日勺检测，检测到非授权的组件或管理平台力；设备时应支持严禁其网络访问或对其进行隔离安全h）应壬持对远程执行存储资源管理平台特权管理命令进行限制的能力；或告警的能力i）应支持资源监控的能力，资源监控的内容包括CPU运用率、带宽使用状况、内存运e）应支持软件白名单的能力；用率、存储使用状况等；f）应支持对顾客上传口勺数据进行加密口勺能j）应支持系统过载保护，保障业务公平性和系统资源运用率最大化的能力；力；k）应支持严禁平台管理员未授权操作租户资源的能力；g）应支持对顾客H勺密钥管理的能力；h）应1）应支持数据存储机密性保护的能力；支持对顾客日勺密钥由租户自管理或第三方管m）应支持数据存储完整性保护的能力；理H勺能力；n）应支持数据存储可用性保护日勺能力；0）应支持数据日勺异地备份和备份数据一致性日勺能力；P）应支持租户访问存储的安i）应支持数据多副本存储的1能力，支持不一全传播的能力样副本数据至少分布存储在两个机架上；j）应支持异地备份的能力，支持自动跨集群日勺数据同步能力；k）应支持存储层面的跨数据中心口勺同步或异步复制日勺能力a）应支持在虚拟机之间以及虚拟机与宿主机之间CPU安全隔离的能力，包括如下规定a）应支持对虚拟机所在物理机范围进行指定或1）在某个虚拟机发生异常（包括瓦解）后不影响其他虚拟机和宿主机;限定的能力2）虚拟机不能访问其他虚拟机或宿主机H勺CPU寄存器信息b）应支持在虚拟机之间以及虚拟机与宿主机之间内存安全隔离日勺能力，包括如下规定1）分派给虚拟机的内存空间，其他虚拟机和宿主机不能访问:2）防止虚拟机占用过多内存资源,超过设定H勺规格,影响其他虚拟机正常运行;3）某个虚拟机发生异常（包括瓦解）后不影响其他虚拟机和宿主机;4）可以严禁虚拟机和其他虚拟机、宿主机之间拷贝或粘贴动作,如通过剪贴板的共享和复制虚拟化计c）应支持在虚拟机之间以及虚拟机与宿主机之间存储空间安全隔离日勺能力，包括如下算安全规定资间1）分派给虚拟机的存储空间,其他虚拟机和宿主机不能访问;2）防止虚拟机占用过多存储资源,超过设定规格,影响其他虚拟机正常运行;拟空3）某个虚拟机发生异常（包括瓦解）后不影响其他虚拟机和宿主机全d）应支持一种虚拟机逻辑卷同一时刻只能被一种虚拟机挂载的能力虚e）应支持根据租户所选择日勺服务级别进行虚拟机存储位置分派日勺能力；源f）应支持实时的虚拟机监控，对虚拟机的运行状态、资源占用、迁移等信息进行监控和安告警的能力a）应支持不一样租户日勺虚拟化网络之间安全隔离日勺能力；虚化b）应支持租户的虚拟化网络与云计算平台的业务和管理网络之间安全隔离口勺能力，包网安括如下规定/全拟1）玄计算平台管理员,无法通过玄计算平台的业务和管理网络访问租户私有网络;络2）租户无法通过私有网络访问云计算平台的业务和管理网络;3）租户无法通过私有网络访问宿主机c）应支持虚拟私有云VPC的|能力，包括如下规定1）租户完全控制VPC虚拟网络,包括可以选择自有1P地址范围、创立子网,以及配置路由表和网关;2）租户可以在自己定义的7PC虚拟网络中启动云服务的资源，如虚拟机实例;3）对VPC的操作,如创立或删除7PC,变更路由、安全组和ACL方略等,需要验证租户凭证d）应支持VPC之间连接的能力，包括同一种租户的不一样VPC之间和不一样租户VPC之间日勺连接能力；e）应支持安全组，提供虚拟化网络安全隔离和控制的能力，包括如下规定1）可以过滤虚拟机实例出入口的流量,控制的规则可以由租户自定义;2）支持根据IP协议、服务端口及1P地址进行限制口勺能力f）应支持网络访问控制列表ACL,提供虚拟化网络安全隔离和控制的能力，规定基于IP协议、服务端口和源或目的IP地址，容许或拒绝流量；g）应支持虚拟私有网关，提供VPC与其他网络建立VPN私有连接日勺能力；h）应支持互联网网关，提供NAT功能，支持VPC与互联网连接的能力；i）应支持租户虚拟化网络关闭混杂模式的能力；j）应支持防止虚拟机使用虚假日勺IP或MAC地址对外发起袭击的能力；k）应支持防虚拟机VLAN或VXLAN跳跃袭击口勺能力；1）应支持不一样租户的虚拟机之间以及虚拟机与宿主机之间网络流量监控日勺能力；m）应支持租户对其所拥有的不一样虚拟机之间网络流量进行监控的能力a）应支持租户设置虚拟化存储数据的访问控制方略H勺能力；b）应支持租户当地数据与虚拟化存储之间的1安全上传和下载的能力；虚拟化存c）应支持租户间的虚拟化存储空间安全隔离，其他租户或者云计算平台管理员非授权不/储安全能访问的能力；d）应支持根据租户所选择的服务级别进行存储位置分派口勺能力a）应支持虚拟机的安全方略随虚拟机的迁移而迁移的能力；b）应支持虚拟机迁移机密迁移安全性保护日勺能力；/c）应支持虚拟机迁移完整性保护日勺能力虚拟化a）应支持租户对云计算平台提供日勺镜像文献模板加固的能力；a）应支持镜像文献的安全传播的能力；组件安全b）应支持租户镜像文献访问控制，其他租户或者云计算平台管理员非授权不能访问的1b）应支持租户虚拟机镜像文献加密的1能力加固能力；c）应支持租户快照文献访问控制能力，其他租户或者云计算平台管理员非授权不能访问H勺能力；d）应支持租户虚拟机镜像文献完整性保护的能力；e）应支持租户快照文献完整性保护的能力a）应支持虚拟机所使用的内存回收时完全清除的能力；（注完全清除指采用非物理手段无法恢复）b）应支持虚拟机所使用的1存储空间回收时完全清除日勺能力；c）应支持租户虚拟机删除时，租户数据完全清除的能力；租户虚拟机删除时，需要清剩余数据除H勺数据包括租户镜像文献、快照文献、备份等数据；/保护d）应支持租户虚拟化存储数据完全清除的能力；虚拟化存储数据完全清除，包括虚拟化存储空间上日勺数据，备份的1数据，也包括在租户完毕当地数据与虚拟化存储之间安全上传、下载数据后存储网关等辅助设备上的数据等e）应支持租户备份存储空间释放时，对应存储空间上租户数据完全清除的能力f）应支持虚拟机迁移时原存储空间数据完全清除日勺能力服务层安全根据云计算安全责任模型,在租户虚拟资源私有空间内的安全由租户负责，laaS租户虚拟资源私有空间内的安全定义技术规定不在本原则范围之内a）应支持租户身份和访问管理，实现集中管理租户账户（主账户）以及主账户下日勺a）应支持云计算平台管理员特权账号管理的个人顾客（子账户）日勺能力，对子账户日勺管理，应满足如下规定能力，特权账号管理包括如下规定1）主账户可以创立多种子账户，并管理每个子账户的权限;1）特权账号在授权时间内才能使用,授2）支持主账户对子账户的分组授权，如基于角色、顾客组授权（注个人顾客权时间支持分钟或小时的粒度;可以是通过程序、管理控制台、CU或API接口与云服务资源互动的任何个人、系统或应2）给特权账号授权口勺账号自身无法使安全用）用特权账号的业务操作权限身份鉴别和访问管理b）应支持租户账户下日勺子账户权限最小化配置的能力；b）应支持顾客身份证书状态有效性验证管理c）应支持租户密码方略管理的1能力，密码方略管理包括如下规定的1能力；1）应支持密码复杂度方略;c）应上持租户授予原本无权访问租户资源的2）应支持设置密码有效期;顾客或实体临时访问租户资源的能力3）租户账号的初始密码应支持随机生成,租户初次登录支持强制修改初始密码d）应支持为租户随机生成虚拟机的登录口令，或租户自行输入登录口令日勺能力；e）应支持在以密钥对方式登录租户虚拟机的场景下，租户自主选择由云计算平台生成密钥对或租户上传密钥对口勺能力；f）应支持集中管理租户鉴别凭证欧I能力；g）应支持租户鉴别凭证的机密性和完整性保护的能力；h）应支持修改租户鉴别凭证前验证租户身份的能力；i）应支持租户账户异常检测并告知租户的能力；j）应支持多种租户身份鉴别方式的能力；k）应支持租户自主选择主账号采用两种或两种以上日勺组合机制进行身份鉴别的能力；1）应支持与租户自建身份认证中心对接的能力；m）应支持将云计算平台管理员的角色及其对应权限分派给不一样账户H勺能力；n）应支持云计算平台管理员顾客初次登录时强制修改初始密码日勺能力；o）应支持云计算平台管理员权限分离机制的能力；p）应支持云计算平台管理员权限最小化的能力；q）应支持多种云计算平台管理员身份鉴别方式的能力；r）应支持云计算平台管理员采用两种或两种以上口勺组合机制进行身份鉴别的能力a）应支持审计记录信息产生的能力，审计记录信息的产生包括如下规定1）记录云计算平台管理员和租户登录信息和身份鉴别信息;2）记录云计算平台管理员对基础设施和虚拟资源H勺管理操作信息，如架构调整、a）应支持云计算平台审计信息集中审计口勺方略变更、安全功能的启动关闭、虚拟资源申请、虚拟机迁移、虚拟资源调度、虚拟资能力；源分派、虚拟资源的异常使用和重要系统命令的使用等;b）应支持租户使用第三方审计系统或接口，3）记录云计算平台管理员对租户资源的操作信息，如:对租户虚拟化实例的建立、实现租户职责范围内集中审计的能力；c）应变更、回收,对虚拟存储设备进行挂卷、卸卷等变更操作；安全审计支持第三方审计系统或接口获取云计算平台4）记录租户通过云计算平台对租户资源H勺操作信息;固件和关键软件启动过程中版本信息的能力；5）记录云计算平台运行过程口勺系统日志信息;d）应支持第三方审计系统或接口获取云计算6）记录其他与云计算平台安全有关的事件或专门定义的可审计事件信息b）应支平台初始配置信息的能力；持审计记录包括安全事件口勺主体、客体、时间、类型和成果等内容的能力；c）应支e）应支持第三方审计系统或接口获取云计算持审计记录时间由云计算平台唯一确定的I时钟产生的I能力；平台关键软件运行过程中版本信息日勺能力；d）应支持云计算平台管理员对审计记录进行查询、分类和分析日勺功能，并支持生成f）应支持第三方审计系统或接口获取云计算有关审计报表的能力；平台关运行过程中关键配置信息的能力；e）应支持租户间审计记录信息互相隔离的能力；g）应支持第三方审计系统或接口获取云f）应支持租户搜集和查看与本租户资源有关n勺审计记录信息的能力；g）应支持审计信息保护，严禁非授权的顾客或实体获取审计信息，防止受到未预期欧1计算平台关运行过程中审计信息的能力删除、修改或覆盖和丢失口勺能力；h）应支持审计信息的保留期限满足法律法规及云服务提供者和租户的信息留存规定的能力；i）应支持实时监控和处置安全事件审计信息的能力；包括支持设置规则监控审计事件，并根据这些规则判断安全侵害，当检测到有安全侵害事件时，支持自动进行审计响应『J能力a）应支持对云计算平台的备份系统和备份数据进行周期性测试,识别故障和备份重a）应支持租户系统和数据日勺备份，并支持租户根据所备份信息进行系统和数据恢复的存储与备份管理建的1能力;能力b）应支0租户查询数据和备份数据存储位置的能力a）应支持安全方略日勺集中管理和自动下发能力；安全运维b）应支持统一H勺运维入口的能力统一的运维入口规定支持运维人员的权限控制，并支持对所有活动记录日志的能力a）应支持内核补丁升级不中断租户业务日勺能力；a）应支持定期对云计算平台运行日勺硬件和软件系统进行安全性检测，识别与鉴别、鉴b）应士持安全威胁预警的能力（注安全威胁权、授权、访问控制和系统完整性设置有关的特定安全脆弱性的能力；预警指对云计算平台口勺基础信息、静态日勺b）应支持统一H勺补丁管理机制，支持识别云计算资源管理平台、主机、网络、存储等配置信息、动态的系统运行信息、网络流量信虚拟和物理资源的补丁状态，并支持自动化补丁安装的能力；威胁与脆弱性管理息、顾客访问行为、安全事件日志、漏洞信息c）应支持云计算平台系统镜像文献安全补丁管理措施，对非工作状态的虚拟机镜像应支等能引起云计算平台网络安全态势发生变化的持补丁触发或定期升级方式进行系统补丁升级的能力；要素进行全面、迅速和精确地捕捉，通过关联d）应支持实时监控云计算平台各安全组件的运行状况，当发现网络袭击、病毒入侵、网回溯、大数据分析及安全建模等技术提前发现络异常及未授权访问等安全威胁时，发出告警信息的能力也许引起安全事件的威胁，实现对威胁口勺提前预警）a）应支持云计算平台所使用数字证书，以及租户与云计算平台进行业务交互时所使用的a）应支持租户与云计算平台进行业务交互时所数字证书统一管理日勺能力；（注数字证书统一管理是指对证书全生命周期进行统一使用日勺数字证书导入专用安全硬件（例如管理，包括证书的颁发、验签、撤销等）USBkey、SmartCard等）口勺能力；b）应支持密钥与证书管理b）应支持对云计算平台所使用密钥统一管理日勺能力（注密钥统一管理是指对密钥使用统一的密钥管理系统，实现密钥统一管理的全生命周期进行统一管理，包括密钥产生、分发、更新、使用、备份和销毁等）的能力；c）应支持由硬件安全模块实现密钥全生命周期管理日勺能力a）应支持为租户提供增强的DDoS防御服务的1能力；网络安全服务a）应支持为租户提供基本口勺DDoS防御服务口勺能力b）应支持为租户提供入侵检测或入侵防御服务的能力a）应支持为租户的虚拟机提供防病毒服务的能力；b）应支持为租户提供版本漏洞及补丁检测服务H勺能力；版本漏洞及补丁检测服务提供检测系统服务组件及各类中间件的版本漏洞，提醒版本升级或补丁更新c）应支持为租户的操作系统提供安全的软件源升级服务的能力；d）应支持为租户系统提供安全配置检查与提醒服务日勺能力；安全配置检查与提醒服务检查包括但不限于服务与端口的启动、帐号登录方安全服主机安全服务/略、口令强度方略、主机防火墙方略、日志启务动方略等，发现异常提醒；e）应支持为租户虚拟机提供消除安全防护间隙服务日勺能力；0应支持为租户提供系统账号安全服务日勺能力；系统账号安全服务提供检测并提醒租户有关操作系统帐号的高危操作，如异地登录行为，以及对其进行暴力破解的行为；g）应支持为租户提供数据库安全服务的能力；数据库安全服务提供数据库加固、审计、扫描、访问控制、加密等服务a）应支持为租户系统提供Web安全防护服务的能力；应用安全服务/b）应支持为租户系统提供Web漏洞扫描服务的能力;c）应支持为租户提供移动应用安全服务。