CSA 云计算安全技术要求-IaaS 安全技术要求控制域基本要求增强要求访问层安全网络访问安全a)应支持保护用户访问云计算中的资源时通信消息的完整性和机密性的能力;b)应支持用户访问云计算中的资源前通过用户鉴别和鉴权的能力;/API 访问安全a)应支持服务 API 调用前进行用户鉴别和鉴权的能力;b)应支持涉及租户资源操作的服务 API 调用前验证租户凭证的能力;c)应支持用户调用服务 API 的访问控制能力;d)应支持服务 API 接口的防范重放、代码注入、DoS/DDoS 等攻击的能力;e)应支持服务 API 接口安全传输能力;f)应支持服务 API 接口过载保护能力,要求实现不冋服务等级用户间业务的公平性和系统整体处理能力的最大化;g)应支持服务 API 的调用日志记录能力。/Web 访问安全a)应支持 Web 代码安全机制的能力,包括对输入输出进行有效性检查,以及米取防范认证漏洞、权限漏洞、会话漏洞、Web 服务漏洞、注入漏洞等代码漏洞的措施;b)应支持对用户通过 Web 访问资源进行访问控制的能力;/资源层安全物理资源安全物理与环境安全参考业界最佳实践基础硬件安全a)应支持物理主机外设管理的能力;b)应支持硬件部分损坏情况下数据恢复的能力。a)应支持检测服务器或存储设备硬件发生变更并予以提示的能力网络安全网络架构安全a)应支持绘制与当前运行情况相符的网络拓扑结构图,支持对网络拓扑进行实时更新和集中监控的能力;b)应支持划分为不同的网络区域,并且不同区域之间实现逻辑隔离能力;c)应支持云计算平台管理网络与业务网络逻辑隔离的能力;d)应支持云计算平台业务网络和管理网络与租户私有网络逻辑隔离能力;e)应支持云计算平台业务网络和管理网络与租户业务承载网络逻辑隔离的能力;f)应支持租户业务承载网络与租户私有网络逻辑隔离的能力;g)应支持网络设备(包括虚拟化网络设备)和安全设备业务处理能力弹性扩展能力;h)应支持高可用性部署,在一个区域出现故障(包括自然灾害和系统故障)时,a)应支持指定带宽分配优先级别的能力;b)应支持虚拟化网络边界的访问控制;c)应支持区域边界的双向访问控制,控制从内往外和从外往内流量的能力。自动将业务转离受影响区域的能力。网络边界安全a)应支持对进出云计算平台业务网络和管理网络的信息进行过滤的能力;b)应支持对云计算平台管理网络最大流量及单用户网络连接数的限制能力;c)应支持对云计算平台管理员访问管理网络的访问控制能力;d)应...
