YDT 4409.3-2023云原生能力成熟度模型 第3部分：架構(gòu)安全

ICS35.210

CCSL77

YD

中華人民共和國通信行業(yè)標(biāo)準(zhǔn)

YD/T[×××××]—[××××]

云原生能力成熟度模型

第3部分：架構(gòu)安全

Cloudnativecapabilitymaturitymodel—

Part3:Architecturesecurity

（報批稿）

[××××]-[××]-[××]發(fā)布[××××]-[××]-[××]實施

中華人民共和國工業(yè)和信息化部發(fā)布

YD/TXXXX-XXXX

前言

本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。

本文件是云原生能力成熟度系列標(biāo)準(zhǔn)之一。該標(biāo)準(zhǔn)的結(jié)構(gòu)和名稱預(yù)計如下：

——第1部分：技術(shù)架構(gòu)；

——第2部分：業(yè)務(wù)應(yīng)用；

——第3部分：架構(gòu)安全；

——第4部分：電信行業(yè)IT業(yè)務(wù)系統(tǒng)；

——第5部分：中間件。

本文件為第3部分。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任。

本文件由中國通信標(biāo)準(zhǔn)化協(xié)會提出并歸口。

本文件起草單位：中國信息通信研究院、阿里云計算有限公司、騰訊云計算（北京）有限公司、華

為技術(shù)有限公司、北京百度網(wǎng)訊科技有限公司、北京小佑網(wǎng)絡(luò)科技有限公司、北京升鑫網(wǎng)絡(luò)科技有限公

司、北京神州綠盟科技有限公司、安易科技（北京）有限公司、山石網(wǎng)科通信技術(shù)股份有限公司、北京

天融信網(wǎng)絡(luò)安全技術(shù)有限公司。

本文件主要起草人：杜嵐、鄭劍鋒、栗蔚、陳屹力、劉如明、周丹穎、張大江、汪圣平、匡大

虎、朱松、彭玉軒、趙奕豪、黃鶴清、張宇、盧宏旺、劉亞東、莫若、樂元、李濱、江國龍、張祖

優(yōu)、姬生利、羅啟漢、房雙德、袁曙光、劉斌、白黎明、胡俊、李漫、阮博男、王亮、任亮、李瑋。

I

YD/TXXXX-XXXX

引言

伴隨著云原生日益成熟，容器、微服務(wù)、服務(wù)網(wǎng)格等云原生技術(shù)逐步在企業(yè)業(yè)務(wù)應(yīng)用研發(fā)建設(shè)中落

地應(yīng)用。為評估基于云原生構(gòu)建的企業(yè)技術(shù)平臺和業(yè)務(wù)應(yīng)用能力成熟度水平，促進云原生技術(shù)廣泛落地，

開展云原生能力成熟度模型標(biāo)準(zhǔn)化活動勢在必行。《云原生能力成熟度模型》系列標(biāo)準(zhǔn)擬由5部分構(gòu)成。

——第1部分：技術(shù)架構(gòu)。目的在于規(guī)范云原生技術(shù)架構(gòu)和服務(wù)能力，指導(dǎo)服務(wù)提供商和用戶建設(shè)

云原生技術(shù)平臺。

——第2部分：業(yè)務(wù)應(yīng)用。目的在于指導(dǎo)用戶基于云原生的業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)路徑，幫助用戶提升

云原生應(yīng)用水平。

——第3部分：架構(gòu)安全。目的在于規(guī)范云原生安全架構(gòu)和服務(wù)能力，指導(dǎo)服務(wù)提供商和用戶提高

云原生平臺和應(yīng)用的安全水平。

——第4部分：電信行業(yè)IT業(yè)務(wù)系統(tǒng)。目的在于指導(dǎo)電信行業(yè)用戶基于云原生的IT業(yè)務(wù)系統(tǒng)的建設(shè)

路徑，幫助電信行業(yè)用戶提升云原生應(yīng)用水平。

——第5部分：中間件。目的在于規(guī)范中間件平臺服務(wù)能力，指導(dǎo)服務(wù)提供商和用戶建設(shè)中間件平

臺服務(wù)。

II

YD/TXXXX-XXXX

云原生能力成熟度模型第3部分：架構(gòu)安全

1范圍

本文件規(guī)定了基于云原生構(gòu)建的平臺與應(yīng)用的安全能力成熟度評估模型，包括基礎(chǔ)設(shè)施安全域、云

原生基礎(chǔ)架構(gòu)安全域、云原生應(yīng)用安全域、云原生研發(fā)運營安全域以及云原生安全運維域五個方面。

本文件適用于企業(yè)在云原生平臺與應(yīng)用構(gòu)建過程中，對其安全能力進行評估，也適用于為企業(yè)提供

云原生安全能力建設(shè)的參考和指引。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求

GB/T32399-2015信息技術(shù)云計算參考架構(gòu)

GB/T32400-2015信息技術(shù)云計算概覽與詞匯

GB/T31167-2014信息安全技術(shù)云計算服務(wù)安全能力要求

GB/T31168-2014信息安全技術(shù)云計算服務(wù)安全指南

3術(shù)語和定義

GB/T25069—2010、GB/T31167-2014、GB/T31168-2014、GB/T32400-2015、GB/T22239-2019界

定的及下列術(shù)語和定義適用于本文件。

3.1

網(wǎng)絡(luò)安全cybersecurity

通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處

于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。

[來源：GB/T22239—2019，定義3.1]

3.2

云原生cloudnative

面向云應(yīng)用設(shè)計的一種思想理念，充分發(fā)揮云效能的最佳實踐路徑，幫助企業(yè)構(gòu)建彈性可靠、松

耦合、易管理、可觀測的應(yīng)用系統(tǒng)，提升交付效率，降低運維復(fù)雜度。

3.3

宿主機hostmachine

1

YD/TXXXX-XXXX

運行虛擬機監(jiān)視器的物理服務(wù)器。

[來源：GB/T22239—2019，定義3.8]

3.4

容器container

一種進程級的虛擬化隔離技術(shù)。

3.5

微服務(wù)microservices

一種應(yīng)用架構(gòu)模式，該架構(gòu)下的一組服務(wù)運行在其獨立的進程中，各服務(wù)之間是松耦合的，服務(wù)與服務(wù)

間采用輕量級的通信機制進行通信。

3.6

無服務(wù)器serverless

將基礎(chǔ)設(shè)施資源抽象成按需使用的服務(wù)，用戶只需關(guān)注應(yīng)用邏輯，而無需管理復(fù)雜的基礎(chǔ)設(shè)施運維

工作的設(shè)計模式。

3.7

組件component

可包含在某一保護輪廓、安全目標(biāo)或包中最小可選元素的集合。

[來源：GB/T25069—2010，2.3.116]

3.8

基線baseline

經(jīng)過一個正式評審并通過的規(guī)約或產(chǎn)品，作為后期開發(fā)的基礎(chǔ)。對其變更只有通過正式的變更控制

規(guī)程方可進行。

[來源：GB/T25069—2010，]

3.9

安全策略securitypolicy

用于治理組織及其系統(tǒng)內(nèi)在安全上如何管理、保護和分發(fā)資產(chǎn)（包括敏感信息）的一組規(guī)則、指導(dǎo)

和實踐，特別是那些對系統(tǒng)安全及相關(guān)元素有影響的資產(chǎn)。

[來源：GB/T25069—2010，2.3.2]

3.10

簽名signature

簽名生成過程產(chǎn)生的一個或多個數(shù)據(jù)元素。用實體的私鑰對相關(guān)數(shù)據(jù)進行秘鑰變換。

[來源：GB/T25069—2010，40]

3.11

敏感信息sensitiveinformation

由權(quán)威機構(gòu)確定的必須受保護的信息，該信息的泄露、修改、破壞或丟失會對人或事產(chǎn)生可預(yù)知的

損害。

2

YD/TXXXX-XXXX

[來源：GB/T25069—2010，]

4縮略語

下列縮略語適用于本文件。

ACL：訪問控制列表（AccessControlList）

API：應(yīng)用程序接口（ApplicationProgrammingInterface）

DDoS：分布式拒絕服務(wù)攻擊（DistributedDenialofService）

DoW:拒絕錢包攻擊（Daniel-of-WalletAttack）

IDE：集成開發(fā)環(huán)境（IntegratedDevelopmentEnvironment）

RBAC：基于角色的訪問控制（Role-BasedAccessControl）

SSL：安全套接字協(xié)議（SecureSocketLayer）

TLS：安全層傳輸協(xié)議（TransportLayerSecurity）

5云原生安全成熟度模型

5.1概述

云原生安全成熟度模型如圖1云原生安全成熟度模型所示從基礎(chǔ)設(shè)施安全、云原生基礎(chǔ)架構(gòu)安全、

云原生應(yīng)用安全、云原生研發(fā)運營安全和云原生安全運維五個能力域綜合評估云原生安全能力成熟度

水平，具體如下：

——基礎(chǔ)設(shè)施安全域：評估承載云原生架構(gòu)的底層計算、存儲和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施資源的安全防護能

力水平。

——云原生基礎(chǔ)架構(gòu)安全域：評估云原生PaaS平臺網(wǎng)絡(luò)、編排引擎與組件、鏡像以及容器運行時等

的安全防護能力水平。

——云原生應(yīng)用安全域：從訪問控制、通信安全、API安全、可用性、監(jiān)控等維度評估微服務(wù)、無

服務(wù)器等不同形態(tài)的云原生應(yīng)用的安全防護能力水平。

——云原生研發(fā)運營安全域：從安全需求分析、開發(fā)安全和測試安全等維度評估企業(yè)應(yīng)用研發(fā)測試

關(guān)鍵環(huán)節(jié)的安全防護能力水平。

——云原生安全運維域：從安全管理和安全運營兩個維度評估云原生平臺與應(yīng)用整體的安全運維

能力水平。

3

YD/TXXXX-XXXX

圖1云原生安全成熟度模型

5.2等級劃分

云原生安全成熟度根據(jù)基礎(chǔ)設(shè)施安全域、云原生基礎(chǔ)架構(gòu)安全域、云原生應(yīng)用安全域、云原生研發(fā)

運營安全域以及云原生安全運維域成熟度綜合計算，共分為五級，5級是最高級，1級到5級云原生安全

能力水平逐級遞增，高級別需滿足低級別全部能力要求。具體如表1所示：

表1云原生安全成熟度等級定義

級別英文中文定義

具備概念級的云原生安全防護能力，基于安全的

1級InitialLevel初始級

架構(gòu)設(shè)計及云原生平臺自身的安全機制。

具備基礎(chǔ)的云原生安全防護能力，具備模塊級的

云原生安全防護體系；能夠防御擁有少量資源的

2級FundamentalLevel基礎(chǔ)級

威脅源發(fā)起的惡意攻擊，能夠發(fā)現(xiàn)重要的安全漏

洞和處置安全事件。

具備較完整的云原生安全防護能力，具備多個模

塊和單系統(tǒng)級云原生安全防護體系；能夠防御擁

3級ComprehensiveLevel全面級

有一定量資源的威脅源發(fā)起的惡意攻擊，能夠及

時發(fā)現(xiàn)、監(jiān)測攻擊行為和處置安全事件。

具備體系化的云原生安全防護能力，具備多個系

統(tǒng)聯(lián)動的云原生安全防護體系；能夠防御擁有較

4級ExcellentLevel優(yōu)秀級豐富資源的威脅發(fā)起的惡意攻擊，能夠及時發(fā)現(xiàn)、

監(jiān)測攻擊行為，并可通過自動化手段處置安全事

件。

具備超前的云原生安全防護能力，具備引領(lǐng)級的

5級FabulousLevel卓越級

云原生安全防護體系；能夠?qū)υ圃鷲阂夤粜?/p>

4

YD/TXXXX-XXXX

為進行預(yù)判告警，具備自動化監(jiān)測和威脅自愈能

力。

6基礎(chǔ)設(shè)施安全域

6.1計算安全

計算安全是指承載云原生架構(gòu)的底層算力支撐單元的安全能力，包括資源隔離、訪問控制、安全加

固和攻擊防護等方面，具體要求見表2。

表2計算安全能力要求

級別計算安全

能力要求：

1

應(yīng)支持節(jié)點級別的計算資源隔離；

在1級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)支持多租戶計算資源管理和隔離；

2）應(yīng)支持基于用戶角色的訪問控制；

23）應(yīng)支持云主機系統(tǒng)軟件漏洞掃描；

4）應(yīng)支持云主機安全配置基線檢測；

5）應(yīng)支持云主機入侵檢測，包括異常登錄、口令破解、惡意程序、高危命令、提權(quán)行為、關(guān)

鍵文件操作、異常shell等檢測。

在2級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)支持云主機系統(tǒng)軟件漏洞庫實時更新；

2）應(yīng)支持一種以上常用操作系統(tǒng)版本的漏洞掃描；

3）應(yīng)支持漏洞掃描策略配置，包括漏洞類型、掃描范圍、掃描時間等；

4）應(yīng)支持漏洞掃描結(jié)果分析與修復(fù)方案建議，結(jié)果分析包括漏洞發(fā)現(xiàn)情況、漏洞基本信息、

3威脅等級、影響范圍等；

5）應(yīng)支持基線檢測策略配置，包括基線檢測項、檢測范圍、檢測時間等；

6）應(yīng)支持基線檢測結(jié)果分析與修復(fù)方案建議，結(jié)果分析包括基線通過情況、威脅等級、影

響范圍等；

7）應(yīng)支持入侵檢測策略配置，包括入侵事件、檢測范圍、告警規(guī)則等；

8）應(yīng)支持入侵行為告警和處置建議。

在3級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)支持除用戶名密碼外的其他強身份鑒別措施，如短信驗證、UKey、證書等

2）應(yīng)支持結(jié)合資產(chǎn)、業(yè)務(wù)和修復(fù)影響等場景特征的威脅評級和修復(fù)配置建議；

43）應(yīng)支持部分漏洞自動修復(fù)；

4）應(yīng)支持智能化異常行為檢測；

5）應(yīng)支持部分入侵行為自動處置；

6）應(yīng)支持處理情況跟蹤。

在4級基礎(chǔ)上，滿足以下能力要求：

5

應(yīng)支持環(huán)境自適應(yīng)的云主機自動安全加固和攻擊防護。

5

YD/TXXXX-XXXX

6.2網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是指承載云原生架構(gòu)的底層網(wǎng)絡(luò)通信單元的安全能力，包括訪問控制、安全通信、網(wǎng)絡(luò)攻

擊防護等方面，具體要求見表3。

表3網(wǎng)絡(luò)安全能力要求

級別網(wǎng)絡(luò)安全

能力要求：

1

應(yīng)支持云基礎(chǔ)設(shè)施管理流量和業(yè)務(wù)流量隔離。

在1級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)支持多租戶網(wǎng)絡(luò)隔離；

22）應(yīng)支持ACL資源訪問控制，支持ACL策略設(shè)置；

3）應(yīng)支持網(wǎng)絡(luò)安全組設(shè)置；

4）應(yīng)具有通信傳輸、邊界防護、入侵防范等安全機制。

在2級基礎(chǔ)上，滿足以下能力要求：

31）應(yīng)支持網(wǎng)絡(luò)安全策略設(shè)置，包括定義訪問路徑、選擇安全組件、配置安全策略

2）應(yīng)支持VPN，實現(xiàn)加密通訊；

在3級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)支持安全策略合規(guī)審計、潛在風(fēng)險檢測；

4

2）應(yīng)支持云內(nèi)資源的主動外聯(lián)網(wǎng)絡(luò)側(cè)檢測與阻斷；

3）應(yīng)支持智能化異常流量檢測與防護。

在4級基礎(chǔ)上，滿足以下能力要求：

5

應(yīng)支持零日、高級可持續(xù)威脅攻擊的檢測與防護。

6.3存儲安全

存儲安全是指承載云原生架構(gòu)的底層存儲單元的安全能力，包括數(shù)據(jù)保護、數(shù)據(jù)備份與恢復(fù)和剩余

信息保護等方面，具體要求見表4。

表4存儲安全能力要求

級別存儲安全

1

應(yīng)支持限制平臺管理員訪問用戶業(yè)務(wù)數(shù)據(jù)。

在1級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)支持租戶間數(shù)據(jù)隔離，包括但不限于日志、監(jiān)控數(shù)據(jù)、存儲資源等；

2）應(yīng)支持數(shù)據(jù)存儲備份和恢復(fù)，并支持完整性校驗；

23）應(yīng)保證虛擬機所使用的內(nèi)存和存儲空間回收時得到完全清除；

應(yīng)遵循GB/T22239-2019的要求

4）云服務(wù)客戶刪除業(yè)務(wù)應(yīng)用數(shù)據(jù)時，云計算平臺應(yīng)將云存儲中所有副本刪除。

應(yīng)遵循GB/T22239-2019的要求

在2級基礎(chǔ)上，滿足以下能力要求：

31）應(yīng)支持身份鑒別信息加密存儲；

2）應(yīng)支持備份策略設(shè)置，包括定時備份、即時備份、全量備份和增量備份。

在3級基礎(chǔ)上，滿足以下能力要求：

4

1）應(yīng)支持本地備份數(shù)據(jù)自動同步到異地備份服務(wù)器；

6

YD/TXXXX-XXXX

2）應(yīng)支持本地數(shù)據(jù)誤刪除后，從異地備份服務(wù)器恢復(fù)本地數(shù)據(jù)；

3）應(yīng)支持設(shè)置主備兩個備份服務(wù)器策略，防止單點故障；

4）應(yīng)支持云盤加解密；

5）應(yīng)支持基于云服務(wù)的KMS實現(xiàn)數(shù)據(jù)的加解密。（適用于公有云）。

在4級基礎(chǔ)上，滿足以下能力要求：

5

應(yīng)支持數(shù)據(jù)操作行為的異常檢測。

7云原生基礎(chǔ)架構(gòu)安全域

云原生基礎(chǔ)架構(gòu)安全域是指云原生PaaS平臺的安全能力，包括云原生網(wǎng)絡(luò)安全、編排及組件安全、

鏡像安全及容器運行時安全四個能力子項。

7.1云原生網(wǎng)絡(luò)安全

云原生網(wǎng)絡(luò)安全是指云原生環(huán)境的網(wǎng)絡(luò)安全能力，具體要求見表5。

表5云原生網(wǎng)絡(luò)安全能力要求

級別云原生網(wǎng)絡(luò)安全

1能力要求：

應(yīng)支持容器平臺業(yè)務(wù)面與控制管理面的網(wǎng)絡(luò)分離。

在1級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)支持容器的外網(wǎng)訪問限制；

22）應(yīng)支持容器和宿主機之間的網(wǎng)絡(luò)訪問限制；

3）應(yīng)支持容器集群、namespace、Pod、IP及端口號不同粒度的網(wǎng)絡(luò)流量限制，如通過

NetworkPolicy設(shè)置。

在2級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)支持應(yīng)用層網(wǎng)絡(luò)策略控制，進行應(yīng)用級別的訪問控制；

3

2）應(yīng)支持容器網(wǎng)絡(luò)拓撲和流量可視化；

2）應(yīng)支持失陷容器隔離、攻擊流量阻斷。

在3級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)支持應(yīng)用層網(wǎng)絡(luò)流量分析，識別異常行為；

2）應(yīng)支持流量加密，例如TLS/SSL；

43）應(yīng)支持流量審計和流量鏡像能力，提供完整容器流量做細粒度安全審計；

4）應(yīng)支持微隔離策略的自動生成；

5）應(yīng)支持微隔離策略的告警模式；

6）應(yīng)支持半自動化的失陷容器隔離、攻擊流量阻斷。

在4級基礎(chǔ)上，滿足以下能力要求：

5

應(yīng)支持全流量威脅檢測和智能阻斷。

7.2編排及組件安全

編排及組件安全是指容器編排引擎及其核心組件的安全能力，包括集群組件安全加固、敏感信息保

護和訪問控制等方面，具體要求見表6。

7

YD/TXXXX-XXXX

表6編排及組件安全能力要求

級別編排及組件安全

1）應(yīng)支持用戶對集群編排層資源的訪問控制；

1

2）應(yīng)支持集群內(nèi)部組件之間應(yīng)的訪問控制，保障組件網(wǎng)絡(luò)安全性，組件例如APIServer、

Kubelet、Etcd。

在1級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)支持集群安全基線設(shè)置和合規(guī)掃描，包括但不限于操作系統(tǒng)、容器編排引擎、容器運

行時以及自定義安全基線；

2）應(yīng)支持對集群內(nèi)組件的安全漏洞掃描及修復(fù)（只跟隨版本做漏洞響應(yīng)）；

2

3）應(yīng)支持對集群內(nèi)組件的安全漏洞庫實時更新；

4）應(yīng)支持對集群內(nèi)組件的身份認證、秘鑰等敏感信息進行加密保護；

5）應(yīng)支持集群內(nèi)組件使用安全協(xié)議傳輸通信，如TLS/SSL等；

6）對外暴露服務(wù)的集群組件應(yīng)具備防DDoS攻擊的能力。

在2級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)能限制外網(wǎng)訪問容器操作的能力；

3

2）應(yīng)支持對集群內(nèi)組件的證書、秘鑰等敏感信息進行托管保護；

3）應(yīng)支持對集群共享存儲內(nèi)容加密，如Etcd存儲內(nèi)容。

在3級基礎(chǔ)上，滿足以下能力要求：

41）應(yīng)支持對集群編排組件的攻擊檢測和阻斷；

2）應(yīng)支持對集群編排組件的安全事件審計，以發(fā)現(xiàn)攻擊或異常行為。

在4級基礎(chǔ)上，滿足以下能力要求：

5

應(yīng)支持對集群組件的安全漏洞提供虛擬補丁，在不具備修復(fù)條件時提供防護能力。

7.3鏡像安全

7.3.1鏡像倉庫管理

鏡像倉庫管理是指鏡像倉庫自身的脆弱性加固、攻擊防護能力、鏡像傳輸安全與鏡像的管理能力，

具體要求見表7。

7.3.2鏡像掃描

鏡像掃描是指針對鏡像漏洞、不安全配置以及惡意程序的安全掃描，具體要求見表7。

表7鏡像安全能力要求

級別鏡像倉庫管理鏡像掃描

能力要求：能力要求：

1

具備鏡像的集中管理能力。1）應(yīng)能應(yīng)用工具對單個鏡像進行漏洞掃

1）應(yīng)采用鏡像倉庫對鏡像進行集中管理；描。

在1級基礎(chǔ)上，滿足以下能力要求：

在1級基礎(chǔ)上，滿足以下能力要求：

具備靈活的訪問推拉策略和加密傳輸功

具備批量化掃描、分析標(biāo)注、修復(fù)指引和

能，支持鏡像漏掃和倉庫的安全基線檢查

2漏洞管理能力。

與修復(fù)。

1）應(yīng)支持批量化鏡像漏洞掃描，并支持掃

1）應(yīng)支持鏡像倉庫訪問基于IP的訪問控

描結(jié)果統(tǒng)計分析；

制；注：適用于私有云場景。

8

YD/TXXXX-XXXX

2）應(yīng)支持鏡像倉庫訪問基于角色的訪問控2）應(yīng)支持掃描結(jié)果標(biāo)簽化標(biāo)注，如危險等

制；級、危險類別標(biāo)注；

3）應(yīng)支持鏡像倉庫訪問策略自定義，以管3）應(yīng)支持漏洞修復(fù)指引；

理鏡像的推送、拉取權(quán)限；4）應(yīng)支持鏡像漏洞管理，如針對已掃描鏡

4）應(yīng)支持鏡像文件加密傳輸；像新發(fā)現(xiàn)漏洞的反向追蹤；

5）應(yīng)支持鏡像倉庫與掃描引擎的對接集5）應(yīng)支持漏洞庫更新；

成；6）應(yīng)支持對接多個漏洞庫。

5）應(yīng)支持對倉儲鏡像的漏洞掃描；

6）應(yīng)支持對鏡像倉庫本身的安全性的檢查

與修復(fù)，例如倉庫自身漏洞與弱密碼等問

題。

在2級基礎(chǔ)上，滿足以下能力要求：

支持DDos防御、鏡像自動掃描和基于掃

在2級基礎(chǔ)上，滿足以下能力要求：

描結(jié)果的推拉限制。

具備對鏡像內(nèi)部的安全掃描及掃描規(guī)則

1）應(yīng)支持DDos防御；注：該條目適用于

配置能力。

公有云場景。

1）應(yīng)支持對鏡像內(nèi)敏感文件的掃描；

32）應(yīng)支持基于鏡像掃描結(jié)果的推拉限制，

2）應(yīng)支持鏡像配置的安全基線掃描；

如存在高危漏洞的鏡像禁止從鏡像庫拉取

3）應(yīng)支持鏡像內(nèi)惡意程序檢測；

或禁止推入鏡像倉庫等操作；

4）應(yīng)支持對鏡像安全掃描規(guī)則的自定義

3）應(yīng)支持鏡像推入時的自動漏洞掃描；

配置。

4）應(yīng)支持倉庫鏡像的掃描結(jié)果告警；

5）應(yīng)支持倉庫鏡像的定期自動掃描。

在3級基礎(chǔ)上，滿足以下能力要求：在3級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)支持鏡像拉取的自定義策略限制；具備鏡像掃描和處置與devops全流程對

2）應(yīng)支持鏡像完整性保護；接，以及定制化威脅排序能力。

3）應(yīng)支持漏洞庫更新時鏡像倉庫自動更新1）應(yīng)支持在DevOps流程中自動完成鏡像

4掃描；掃描；

4）應(yīng)支持對長期未被下載使用且存在安全2）應(yīng)支持鏡像掃描分階段匹配處置手段；

風(fēng)險的鏡像進行統(tǒng)計，并可設(shè)置策略定期3）應(yīng)支持定制化安全漏洞風(fēng)險排序；

自動清除；4）應(yīng)能根據(jù)漏洞威脅排序結(jié)果的提出處

5）應(yīng)支持風(fēng)險鏡像的應(yīng)用追蹤。置建議。

在4級基礎(chǔ)上，滿足以下能力要求：

在4級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)支持環(huán)境自適應(yīng)的漏洞威脅等級排

應(yīng)支持倉庫鏡像的自動加固，如存在高危

5序；

鏡像漏洞的鏡像自動修復(fù)有修復(fù)版本的漏

2）應(yīng)支持基于漏洞威脅等級排序結(jié)果的

洞。

鏡像自動修復(fù)。

7.4運行時安全

7.4.1容器資源隔離限制

容器資源隔離限制是指容器資源細粒度的隔離及使用權(quán)限控制,具體要求見表8。

9

YD/TXXXX-XXXX

7.4.2容器數(shù)據(jù)信息加密

容器數(shù)據(jù)信息加密是指容器內(nèi)關(guān)鍵數(shù)據(jù)的完整性與機密性保護，具體要求見表8。

表8容器運行時能力要求（1/2）

級別容器資源隔離限制容器數(shù)據(jù)信息加密

能力要求：

1）應(yīng)支持基于命名空間的資源隔離；

12）應(yīng)支持進程級別的資源隔離能力要求：

3）應(yīng)支持容器CPU、內(nèi)存資源使用限制；應(yīng)對支持容器內(nèi)的部分敏感數(shù)據(jù)進行加密。

4）應(yīng)支持限制管理平臺對租戶容器內(nèi)數(shù)

據(jù)的訪問；

在1級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)支持租戶容器資源隔離和管理。在1級基礎(chǔ)上，滿足以下能力要求：

2

2）應(yīng)支持容器文件系統(tǒng)調(diào)用權(quán)限的限制；應(yīng)支持對容器存儲數(shù)據(jù)全盤加密。

3）支持容器系統(tǒng)調(diào)用權(quán)限的限制。

在2級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)支持容器磁盤資源使用速率限制；在2級基礎(chǔ)上，滿足以下能力要求：

32）應(yīng)支持容器間網(wǎng)絡(luò)流量的限制。應(yīng)支持對接平臺的憑據(jù)管理系統(tǒng)對身份認

3）應(yīng)支持資源限制策略設(shè)置，例如資源保證、密鑰等信息進行統(tǒng)一保護。

障優(yōu)先級劃分。

在3級基礎(chǔ)上，滿足以下能力要求：

在3級基礎(chǔ)上，滿足以下能力要求：

4應(yīng)支持對接第三方憑據(jù)管理系統(tǒng)對身份認

1）宜支持使用獨立內(nèi)核的安全容器。

證、密鑰等信息進行統(tǒng)一保護。

在4級基礎(chǔ)上，滿足以下能力要求：在4級基礎(chǔ)上，滿足以下能力要求：

5宜支持結(jié)合場景的輕量級獨立內(nèi)核，例如應(yīng)支持基于可信執(zhí)行環(huán)境的數(shù)據(jù)機密性、完

unikernel。整性保護，例如TEE。

7.4.3安全策略管理

安全策略管理是指容器安全策略的配置及管理,具體要求見表9。

7.4.4容器運行時檢測

容器運行時檢測是指對容器異常行為的檢測與審計,具體要求見表9。

表9運行時安全能力要求（2/2）

級別安全策略管理容器運行時檢測

1能力要求：能力要求：

應(yīng)支持容器監(jiān)測策略管理應(yīng)支持容器健康狀態(tài)檢查。

在1級基礎(chǔ)上，滿足以下能力要求：

在1級基礎(chǔ)上，滿足以下能力要求：支持基礎(chǔ)的安全掃描。

21）應(yīng)支持限制容器以root權(quán)限運行；1）應(yīng)支持容器啟動運行后的安全掃描，如

2）應(yīng)支持限制容器以特權(quán)模式運行?；€掃描；

2）支持基于白名單的容器內(nèi)程序運行控制；

10

YD/TXXXX-XXXX

3）應(yīng)支持特權(quán)容器運行監(jiān)測告警；

在2級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)支持容器內(nèi)異常連接行為檢測；

2）應(yīng)支持容器內(nèi)敏感文件操作行為檢測；

3）應(yīng)支持高危系統(tǒng)調(diào)用行為檢測；

在2級基礎(chǔ)上，滿足以下能力要求：

4）應(yīng)支持容器逃逸檢測，并能區(qū)分不同的

1）應(yīng)支持對容器的文件目錄做權(quán)限策略

逃逸行為；

控制，如對容器目錄做只讀權(quán)限限定，對

5）應(yīng)支持惡意文件、異常進程檢測，并能

3宿主機映射目錄做權(quán)限控制；

區(qū)分不同的威脅類型，包括但不限于病毒木

2）應(yīng)支持對容器資源的強制訪問控制策

馬、webshell等；

略配置；

6）應(yīng)支持用于平臺安全審計、威脅溯源分

3）應(yīng)支持控制臺的遠程訪問控制。

析的數(shù)據(jù)采集；

7）應(yīng)支持容器級別的威脅響應(yīng)，包括但不

限于隔離容器網(wǎng)絡(luò)、暫停容器、殺死容器等；

8）應(yīng)具備威脅響應(yīng)能力。

在3級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)支持容器中無文件攻擊檢測，包含但

不限于內(nèi)存級惡意代碼檢測；

在3級基礎(chǔ)上，滿足以下能力要求：

2）應(yīng)支持基于行為模式的異常行為檢測；

4應(yīng)支持鏡像使用規(guī)則設(shè)置，阻止不符合安

3）應(yīng)支持安全檢測策略自定義；

全要求的鏡像實例化運行。

4）應(yīng)支持容器內(nèi)資源控制的威脅響應(yīng)能力，

包括但不限于進程阻斷、文件隔離等；

5）應(yīng)具備部分威脅自動化響應(yīng)能力。

在4級基礎(chǔ)上，滿足以下能力要求：

在4級基礎(chǔ)上，滿足以下能力要求：

5應(yīng)具備實時自動化、多設(shè)備聯(lián)動的威脅響應(yīng)

應(yīng)具備場景自適應(yīng)的安全策略管理能力。

能力。

8云原生應(yīng)用安全域

8.1通用安全

8.1.1訪問控制

訪問控制是指細粒度的云原生應(yīng)用訪問控制，具體要求見表10。

8.1.2安全通信

安全通信是指應(yīng)用間通信的機密性與完整性保護，以及異常流量監(jiān)測與阻斷，具體要求見表10。

表10云原生應(yīng)用安全能力要求（1/2）

級別訪問控制安全通信

1能力要求：能力要求：

應(yīng)禁用匿名用戶訪問；應(yīng)支持云原生應(yīng)用通信的可用性保護。

11

YD/TXXXX-XXXX

在1級基礎(chǔ)上，滿足以下能力要求：在1級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)具備要求用戶口令復(fù)雜度的功能；應(yīng)支持南北向通信的機密性、完整性保護。

2）應(yīng)支持對多次錯誤登錄的賬號或IP進

2行鎖定；

3）應(yīng)支持基于角色的訪問控制；

4）對外服務(wù)應(yīng)具備分層級的訪問控制能

力；

在2級基礎(chǔ)上，滿足以下能力要求：在2級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)支持單點登錄與第三方授權(quán)登錄等1）應(yīng)支持東西向通信的機密性、完整性保

功能；護；

2）應(yīng)支持多因素認證；2）應(yīng)支持南北向的流量分析，攔截惡意流

3）應(yīng)支持異常登錄告警；量；

3

4）應(yīng)提供細粒度的內(nèi)部應(yīng)用間的訪問控3）應(yīng)支持對不同安全級別的應(yīng)用進行網(wǎng)絡(luò)

制；隔離。

5）應(yīng)提供基于黑名單的訪問控制策略；

6）應(yīng)支持基于白名單的訪問控制策略；

7）應(yīng)支持最小權(quán)限原則。

在3級基礎(chǔ)上，滿足以下能力要求：

在3級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)支持東西向的流量分析，攔截惡意流

1）應(yīng)具備三權(quán)分立的權(quán)限管理機制；

4量；

2）應(yīng)支持應(yīng)用微隔離策略的自動生成；

2）應(yīng)支持南北向流量的行為學(xué)習(xí)和建模，

3）應(yīng)支持應(yīng)用微隔離策略的告警模式；

對行為模型外的流量自動攔截。

在4級基礎(chǔ)上，滿足以下能力要求：

應(yīng)在4級基礎(chǔ)上，滿足以下能力要求：

5應(yīng)支持東西向流量的行為學(xué)習(xí)和建模，對行

應(yīng)支持實時可信度度量的訪問控制機制。

為模型外的流量自動攔截。

8.1.3API安全

API安全是指云原生應(yīng)用中的API安全管理、檢測與防護，具體要求見表11。

8.1.4攻擊防護

攻擊防護包含南北向與東西向的應(yīng)用攻擊防護，具體要求見表11。

表11云原生應(yīng)用安全能力要求（2/2）

級別API安全攻擊防護

1能力要求：能力要求：

應(yīng)支持API訪問控制應(yīng)支持應(yīng)用訪問控制。

在1級基礎(chǔ)上，滿足以下能力要求：

在1級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)支持注入攻擊防護，包括但不限于SQL

1）應(yīng)支持API自動發(fā)現(xiàn)；

注入、XSS、PHP注入等；

22）應(yīng)支持API狀態(tài)監(jiān)測；

2）應(yīng)支持反序列化攻擊防護、WebShell上

3）應(yīng)支持API漏洞掃描。

傳等攻擊防護；

3）應(yīng)支持應(yīng)用層DDoS攻擊防護

12

YD/TXXXX-XXXX

在2級基礎(chǔ)上，滿足以下能力要求：在2級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)支持API資產(chǎn)管理；1）應(yīng)支持自定義WAF規(guī)則，通過正則表達

2）應(yīng)能對API漏洞掃描結(jié)果給出修復(fù)建式防護最新web攻擊；

3議；2）應(yīng)支持網(wǎng)頁防篡改功能；

3）應(yīng)支持基于規(guī)則的敏感信息識別；3）應(yīng)支持盜鏈保護。

4）應(yīng)支持敏感信息自定義；

5）應(yīng)支持API異常行為檢測與響應(yīng)。

在3級基礎(chǔ)上，滿足以下能力要求：在3級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)支持敏感信息的機密性、完整性保應(yīng)支持智能化攻擊檢測。

護；

2）應(yīng)支持敏感信息脫敏、攔截泄露；

43）應(yīng)支持API業(yè)務(wù)邏輯梳理；

4）應(yīng)支持API異常行為模型構(gòu)建，并支

持智能化API異常行為檢測；

5）應(yīng)支持對部分API異常行為的自動響

應(yīng)。

在4級基礎(chǔ)上，滿足以下能力要求：在4級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)支持API漏洞及不安全配置的自適應(yīng)支持對零日漏洞攻擊的防護。

5應(yīng)修復(fù)；

2）應(yīng)支持對API異常行為的智能化自動

響應(yīng)。

8.2微服務(wù)安全

8.2.1訪問控制

訪問控制是指微服務(wù)訪問的認證、鑒權(quán)和控制，具體要求見表12。

表12訪問控制能力要求

級別訪問控制

能力要求：

1

1）管理后臺應(yīng)支持登陸、認證功能；

2）敏感接口應(yīng)存在鑒權(quán)機制；

在1級基礎(chǔ)上，滿足以下能力要求：

1）管理后臺應(yīng)不允許默認弱口令；

2

2）注冊中心、配置中心應(yīng)支持鑒權(quán)機制；

3）應(yīng)具備API資產(chǎn)管理能力；

在2級基礎(chǔ)上，滿足以下能力要求：

1）管理后臺的賬號體系應(yīng)具備登陸嘗試次數(shù)限制及風(fēng)控機制；

32）應(yīng)支持關(guān)鍵權(quán)限憑證加密存儲；

3）應(yīng)具備API狀態(tài)監(jiān)測能力；

4）配置中心應(yīng)支持多粒度鑒權(quán)；

在3級基礎(chǔ)上，滿足以下能力要求：

4

1）管理后臺的賬號體系應(yīng)支持多因素認證；

13

YD/TXXXX-XXXX

2）管理后臺的賬號體系應(yīng)具備免密碼登陸能力（Oauth）；

在4級基礎(chǔ)上，滿足以下能力要求：

1）注冊中心、配置中心應(yīng)具備來源訪問黑白名單功能；

52）應(yīng)支持關(guān)鍵權(quán)限憑證無損替換；

3）應(yīng)具備API自動發(fā)現(xiàn)能力；

4）應(yīng)能夠提供授權(quán)引擎，支撐零信任安全架構(gòu)。

8.2.2安全通信

安全通信是指微服務(wù)間通信的機密性與完整性保護，以及異常流量監(jiān)測與阻斷，具體要求見表13。

表13安全通信能力要求

級別安全通信

1能力要求：

應(yīng)支持管理與業(yè)務(wù)面網(wǎng)絡(luò)架構(gòu)分離；

在1級基礎(chǔ)上，滿足以下能力要求：

2

應(yīng)具備限制外網(wǎng)訪問內(nèi)部接口的能力；

在2級基礎(chǔ)上，滿足以下能力要求：

3

支持外網(wǎng)訪問的接口應(yīng)具備WAF、防火墻等防護機制；

在3級基礎(chǔ)上，滿足以下能力要求：

4

應(yīng)支持單向應(yīng)用層加密；

在4級基礎(chǔ)上，滿足以下能力要求：

5

應(yīng)支持雙向應(yīng)用層加密。

8.2.3服務(wù)可用性

服務(wù)可用性是指業(yè)務(wù)在節(jié)點故障、被攻擊、流量異常等情況下仍然可用，具體要求見表14。

表14服務(wù)可用性能力要求

級別服務(wù)可用性

能力要求：

1

1）應(yīng)支持迅速降級被攻擊影響的節(jié)點；

2）應(yīng)支持手動擴容；

在1級基礎(chǔ)上，滿足以下能力要求：

21）應(yīng)支持限流超過業(yè)務(wù)能力之外的流量；

2）應(yīng)支持自動擴容；

在2級基礎(chǔ)上，滿足以下能力要求：

3

應(yīng)支持隔離異常流量，控制攻擊影響范圍；

在3級基礎(chǔ)上，滿足以下能力要求：

4

應(yīng)支持服務(wù)多副本部署，保證任何一個節(jié)點故障不影響整體服務(wù)可用性；

在4級基礎(chǔ)上，滿足以下能力要求：

5

應(yīng)支持服務(wù)多可用區(qū)部署，任何一個可用區(qū)不可用不影響全局服務(wù)。

14

YD/TXXXX-XXXX

8.2.4日志監(jiān)控

日志監(jiān)控是指微服務(wù)的日志采集、審計、告警能力，具體要求見表15。

表15日志監(jiān)控能力要求

級別日志監(jiān)控

1能力要求：

日志采集應(yīng)具備實時性；

在1級基礎(chǔ)上，滿足以下能力要求：

2

應(yīng)能記錄關(guān)鍵信息，包括但不限于時間、唯一標(biāo)識、請求碼；

在2級基礎(chǔ)上，滿足以下能力要求：

3

應(yīng)支持日志導(dǎo)出；

在3級基礎(chǔ)上，滿足以下能力要求：

4

應(yīng)支持自定義配置告警規(guī)則

在4級基礎(chǔ)上，滿足以下能力要求：

1）應(yīng)支持通過日志定位請求的真實訪問來源；

5

2）日志中應(yīng)禁止記錄完整的明文憑證；

3）應(yīng)支持對異常行為的自動告警機制。

8.2.5代碼安全

代碼安全是指對微服務(wù)應(yīng)用代碼發(fā)現(xiàn)和修復(fù)漏洞的能力，具體要求見表16。

表16代碼安全能力要求

級別代碼安全

1能力要求：

應(yīng)支持發(fā)現(xiàn)和修復(fù)微服務(wù)代碼漏洞；

在1級基礎(chǔ)上，滿足以下能力要求：

2

應(yīng)具備周期性的黑盒漏洞掃描能力和機制；