CSA云计算安全技术要求-PaaS 安全技术要求-表格版.docx

【CSA云计算安全技术要求-PaaS安全技术要求】 在PaaS（Platform-as-a-Service）层面上，云计算安全技术要求涵盖了多个关键领域，确保服务提供商能够为用户提供安全可靠的平台。以下是一些主要的安全技术要求： 1. **网络访问安全**： - 通信消息的完整性和机密性保护是必要的，以防止数据在传输过程中被篡改或窃取。 - 用户在访问PaaS系统资源前必须经过身份验证和授权，确保只有合法用户能访问其资源。 2. **API访问安全**： - 服务API调用前需进行用户鉴别和鉴权，防止未授权的API访问。 - 租户凭证的验证是必需的，以防止非法操作租户资源。 - 对API的访问控制、防止重放攻击、代码注入、DoS/DDoS攻击，确保API接口的安全性。 - API接口应采用安全传输机制，防止数据在传输过程中被截获。 - 服务API接口应具备过载保护，确保不同服务等级用户的业务公平性和系统的整体处理能力。 3. **Web访问安全**： - 实施Web代码安全机制，如输入输出检查，防止常见的代码漏洞，如认证、权限、会话和注入漏洞。 - 用户通过Web访问资源时，应实施访问控制，确保资源访问的合法性。 - Web远程访问应采用安全传输，保护数据在传输过程中的安全。 4. **物理与环境安全**： - 支持物理主机外设管理，确保硬件安全。 - 数据恢复能力是必需的，以防硬件部分损坏造成的数据丢失。 5. **网络架构安全**： - 实时绘制和监控网络拓扑，划分不同的网络区域并实施逻辑隔离。 - 管理网络与业务网络、租户私有网络之间的隔离，以防止相互影响。 - 网络设备和安全设备应具备弹性扩展能力，以应对流量变化。 6. **计算资源管理平台安全**： - 自动将业务转移到不受影响的区域，以应对故障或灾难情况。 - 信息过滤、流量限制和非法连接的检测与阻断，确保网络流量的安全。 7. **网络边界安全**： - 区域边界的双向访问控制，防止未经授权的内外部通信。 - 网络设备的受控接口ACL策略应自动更新，以增强安全性。 - 支持对恶意虚拟机的隔离和阻断，防止其与其他虚拟机或外部网络通信。 8. **网络设备和管理安全**： - 网络设备管理员的登录地址应受限，防止非法访问。 - 登录失败处理机制和多因素身份验证，提高登录安全性。 - 远程管理时采用安全传输，限制特权命令，最小化管理员权限，确保管理员登录的唯一标识。 9. **资源管理平台的代码安全和计算资源管理**： - 对代码进行安全测试和缺陷修复，减少安全漏洞。 - 限制虚拟机对物理资源的直接访问，通过虚拟机监视器进行调度和管理。 - 监测和告警攻击行为，记录攻击相关信息。 - 坚持最小安装原则，只安装必要组件和应用程序，减少潜在风险。 10. **第三方集成与扩展**： - 支持接入第三方安全产品或服务，加强不同网络区域间的防护。 这些要求遵循了《云计算安全技术要求 第3部分：IaaS安全技术要求》等技术标准，旨在构建一个全面、安全的PaaS环境，保护租户的数据和业务免受各种威胁。