CSA-《云原生安全技术规范》

CSA大中华区发布《云原生安全技术规范》。

本规范主要为了提升云原生类产品技术，帮助更多安全从业人员解决在规划、实施和维护云原生安全架构时遇到的问题，针对云原生安全体系中涉及的每类技术制定的标准。

本规范适用于为云原生类产品厂商或甲方构建安全的云原生类产品提供参考和指导。

描述了前述的云原生安全框架。其中，横轴是开发运营安全维度，涉需求设计 （Plan）、开发（Dev）、运营阶段(Ops)，细分为需求、设计、编码、测试、集成、交付、 防护、检测、响应阶段，但考虑到响应安全能力要求在不同云原生技术层差异性较大，本 标准不涉及响应阶段；而纵轴则是按照云原生系统和技术的层次划分，包括容器基础设施 安全、容器编排平台安全、微服务安全、服务网格安全、无服务器计算安全五个部分。 其中，从云原生安全的视角，云原生 IT 系统各层所需的安全要求从容器基础设施安 全、容器编排系统安全，直至无服务器计算安全，对应图中蓝色标注部分。

此外，从 DevSecOps 的视角，涉及的能力范围几乎覆盖了横轴的各个阶段，可以参考 图中紫色标注部分。

后，云原生安全体系各层都有认证授权、监控追踪和日志审计等通用的安全要求， 这些通用技术能力覆盖 DevSecOps 中 Ops 阶段，见图 1 中黄色标注部分。

附件：CSA-《云原生安全技术规范》