【基础要求】应具备源代码泄露监测和及时预警的能力;
a)
5.4
访问控制平安要求
应具备从源代码中发现敏感信息硬编码的能力。
本文件涉及的访问控制包括通信平安、平安区域、身份与访问管理
IAM
、会话平安及终端平安识别 等方面。相
关要求如下:
5.4.1
通信平安
【基础要求】
在允许远程连接云应用前,应进行身份验证和授权;应具备阻止非授权远程连接的能力;
应保证通信过程中数据的完整性和机密性,如使用
TLS
加应该具备防御
DoS
或
DDoS
等针
对连接或流量攻击的能力;
a)g)
b)h)
c)i)
密;
应该具备保障通信链路稳定高效的能力;云应用服务端应该具备带宽弹性扩容的能力。
如果不同租户使用独立的资源,那么应实现租户间的资源/应实现不同租户之间的数据隔
离;
d)j)
e)k)
f)l)
平安访问区域
【基础要求】
应在不同等级的网络区域边界执行访问控制策略;应支持租户级的防火墙,如租户级的
IP
白名单;
云应用厂商应具备限制其管理员访问租户资源/数据的能
4. 3
会话平安
a)f)
网络访问区域隔离;
【基础要求】
b)g)
c)h)
i)d)
a)
b)
a)
b) 4. 4
身份与访问管理
IAM
【基础要求】
c) 应具备租户级的权限清单;
应具备控制账号并发会话数的能力;
应具备控制会话凭证有效期的能力; 应
具备会话锁定/解锁的能力; 应具备异
常登录提醒能力。
应采用
RBAC
授权机制并满足最小权限原那么;
应支持多种身份认证方式;
应具备对账号申请人进行实名/实人认证的能力; 应具
备租户级账号和口令策略定制的能力; 应具备租户级
账号分级授权管理的能力;