CSA标准发布|《云原生安全技术规范》意见征集稿

云原生安全作为一种新兴的安全理念，不仅解决云计算普及带来的安全问题，更强调以原生的思维构建云上安全建设、部署与应用，推动安全与云计算深度融合。

2022年3月9日，云安全联盟大中华区发布《云原生安全技术规范》。主要为提升云原生类产品技术，帮助更多安全从业人员解决在规划、实施和维护云原生安全体系架构时遇到的问题，针对云原生安全体系中涉及的每类技术制定的标准。

本文件适用于为云原生类产品厂商或甲方构建安全的云原生类产品提供参考和指导。

云原生得以迅速发展，一方面得益于开发运营一体化（DevOps）的广泛采用，另一方面在IT基础设施的基础上， 出现了更加弹性、敏捷的新型服务支撑体系。

因而本次发布《云原生安全技术规范》按照开发运营安全（DevSecOps）和云化系统安全两个维度考虑安全机制。

云原生安全框架

• 开发运营安全的维度：涉及需求设计（Plan）、开发（Dev）、运营阶段（Ops），细分为需求、设计、编码、测试、集成、交付、防护、检测和响应阶段;
• 云原生系统和技术的层次划分维度：包括容器基础设施安全、容器编排平台安全、微服务安全、服务网格安全、无服务器计算安全五个部分；
• 二维象限中列举安全机制（蓝色标注部分）已基本覆盖全生命周期的云原生安全要求。

此外，DevSecOps涉及的能力范围几乎覆盖了横轴和纵轴的各个阶段，可以参考图中紫色标注部分。

最后，云原生安全体系中还应支持一些通用技术能力（黄色标注部分），这一部分能力主要体现在检测和响应阶段，并会同时覆盖DevSecOps中Ops阶段的能力。

规范内容目次如下：

点击获取“《云原生安全技术规范》（征求意见表）”