建议项目名称
(中文)
|
云原生安全 API安全治理
|
建议项目名称
(英文)
|
Cloud Native Security Capability Requirements Part I:API Security And Governance
|
制定或修订
|
■制定 □修订
|
被修订标准号
|
|
采用程度
|
□IDT □MOD □NEQ
|
采标号
|
|
国际标准名称
(中文)
|
|
国际标准名称
(英文)
|
|
采用快速程序
|
□FTP
|
快速程序代码
|
□B □C
|
ICS分类号
|
35.240
|
中国标准分类号
|
L67
|
牵头单位
|
中国信息通信研究院
|
体系编号
|
S-03-01-08-01-02
|
参与单位
|
腾讯云计算(北京)有限责任公司,阿里云计算有限公司,中国移动通信集团有限公司,新华三技术有限公司,西安邮电大学
|
完成周期(月)
|
24
|
目的、意义
或必要性
|
云计算核心架构云原生化趋势明显。根据IDC的报告预测,到2021年全球70%的新增企业应用将基于敏捷基础设施云原生化部署;信通院2021中国云原生用户调查报告显示,容器技术在用户生产环境的采纳率已近7成,微服务架构已趋于主流,八成用户已经使用或计划使用微服务,传统应用向云原生应用转型的拐点即将到来。随着云原生技术的大范围普及应用,云原生技术的安全问题逐渐成为行业的关注焦点,云原生技术在带来敏捷、弹性、可迁移等好处的同时,也增加了新的安全风险与挑战。例如容器安全、serverless安全以及微服务拆分带来的服务交互安全。其中API安全是一大突出问题,云原生架构下API数量爆发式增长,从云原生的基础架构层、到微服务业务层都有很多标准或非标准的API;API访问范围扩大,既充当外部与应用的访问入口,也充当应用内部服务间的访问入口。数量的激增和攻击面的扩大无疑加剧了云原生架构下的API安全风险。但是,目前行业对云原生架构下的API安全防护缺少清晰的界定和统一的标准规范指导,因此需要联合云服务商、安全服务商以及典型用户多方共同参与联合制定云原生架构下的API安全治理能力标准,这对加强云原生安全防护意识、规范行业安全能力建设、加速技术推广有较强的推动作用。
|
范围和主要
技术内容
|
云原生安全能力要求系列标准包括:API安全治理、网络安全、容器安全、serverless安全、微服务安全、应用安全、研发运营安全、中间件安全、数据安全、信任体系、和安全运营等部分。
本标准适用于基于云原生技术栈构建的平台和应用中的API安全规范和能力要求,适用于用帮助用云企业评估自身云原生平台和应用的API安全防护能力水平,定位问题、指导能力建设,适用于规范云服务商、安全企业提供的产品及服务的能力水平。本标准内容包含API资产管理、访问控制、攻击防护、敏感数据管控、异常行为管控等。
|
国内外情况
简要说明
|
国内外暂无相关标准。
|
备注
|
|
牵头单位
|
(签字、盖公章)
月 日
|
标准化技术组织
|
(签字、盖公章)
月 日
|
部委托机构
|
(签字、盖公章)
月 日
|
|