重磅 | 中国信通院2024年第一批【可信云·云原生安全类】评估正式启动

2026年01月19日/ 浏览 10

首页 公司动态 文章详情

随着全行业上云的逐步深化,行业用户对云原生的价值认知也逐渐深入,重点行业用户应用云原生技术实现数字化转型已经成为重要途径。云原生行业应用快速普及规模化,系统上云复杂性提升,云原生在技术架构和应用模式上的颠覆性变革引入了新的安全风险,新安全需求涌现,云原生安全建设成为企业云原生平台建设和应用云原生化改造进程中的必备项。

为规范云原生安全的能力体系、探索云原生安全的最佳实践路径,中国信通院结合自身在云原生领域多年的深耕积累,形成了完备的云原生安全标准体系,并基于此开展云原生安全系列评估工作。2024年第一批云原生安全系列评估正式开启,欢迎各界广泛参与!

评估介绍

一、云原生安全成熟度评估

评估面向云原生平台及应用的安全体系,评估融合了零信任、安全左移、持续监测与响应以及可观测四大理念,涵盖基础设施安全、云原生基础架构安全、云原生应用安全、云原生研发运营安全和云原生安全运维5个能力域、15个能力子项、46个实践项和近400个细分指标要求,用于帮助用户快速对照、定位云原生平台与应用的安全防护能力水平,诊断问题,并根据自身业务需求结合模型高阶能力定制安全能力演进方向。

二、云原生应用保护平台(CNAPP)能力评估

云原生应用保护平台(CNAPP)是云原生应用程序的最佳安全性实践,包含制品扫描、云配置和运行时保护等在内的一组安全性和合规性功能,实现了从代码开发到构建、到部署运行整个应用生命周期的安全可视化以及安全防护,提升了云原生系统端到端的可观测性和系统防护能力。Gartner提出了云原生应用保护平台(CNAPP)模型,中国信息通信研究院也牵头编制了《云原生应用保护平台(CNAPP)能力要求》标准。

本评估以此标准为依据,包括制品安全、基础设施安全和运行时安全三大能力域,覆盖云原生应用研发运营全生命周期,同时兼顾平台的双向反馈和环境适配能力,共计15个功能模块,包含500+能力项,全面详细地评估云原生应用的安全防护能力。本评估同时适用于云服务、平台、工具和解决方案,有平台类和工具类两种评估模式,平台类是指15个功能模块的整体评估,工具类是指分域分模块独立评估。

三、容器安全解决方案评估

容器安全解决方案评估面向安全服务商,全面考察对容器平台提供安全解决方案的能力。更加着重考察解决方案针对镜像和运行时的多维度威胁攻击发现与防护能力,以及事前事中事后全方位的安全防护能力。

本评估为分级评估,能力分为基础级、增强级和先进级三级,不同能力对应的测试用例有所不同,测试用例中的参考项可根据业务需求选择性满足。

评估能力要求如下:

四、云原生API安全治理能力评估

云原生架构下信息流通以及各种程序、应用和系统之间的连接调用关系复杂,API数量激增、安全问题突出。本评估以《云原生安全能力 第1部分:API安全治理》标准为依据,从API资产管理能力、API风险评估能力、API权限控制能力和API安全监测能力等方面对API安全能力进行全面的评估。

五、Web应用和API保护(WAAP)能力评估

Web应用程序和API保护是一种旨在保护 Web 应用程序和 API 免受各种日益复杂的网络攻击的安全技术,其核心功能包括Web应用防火墙、API保护、Bot防护和DDoS攻击防护。2021年,Gartner将多年来发布的WAF魔力象限改为了Web应用和API保护(WAAP)魔力象限,进一步扩展了云上应用安全防护范围和安全深度。本评估以《云原生应用保护平台(CNAPP)能力要求》标准为依据,评估包括云Web安全防护、API安全防护、恶意机器人(Bot)保护和应用层DDoS防护四大方面,从攻击流量识别、主动攻击防护、API资产管理、API攻击防护、攻击行为识别、工具管理、智能防护策略和威胁情报分析等多个维度的对WAAP产品和服务的能力进行全面评估。

六、云原生安全托管服务(MSS)能力评估

云安全托管服务(MSS)能力评估以《云原生安全 安全托管服务(mss)能力要求》标准为依据,评估包括云数据接入能力、平台能力、服务运营能力、服务保障能力、规范要求、人员能力、环境适配能力、本地接入能力八大部分,其中环境适配能力、本地接入能力为根据业务需求选择满足以及两大可选部分。其中,云数据接入能力、平台能力、服务运营能力、环境适配能力、本地接入能力将进行技术测试,测试内容包括安全接入能力、集成扩展能力,平台的基础安全能力、联动分析能力、智能响应能力等;服务保障能力、规范要求、人员能力三部分将通过现场记录审查或材料审查方式进行,审查内容包括服务账户管理质量、服务交付质量、人员能力检查等。

评估流程

1

评估报名

评估报名即日起至2024年4月30日

企业参考相关新闻、评测目录,确定评测意向。将企业名称、联系人、联系电话、参评项目发送至qiubaoqi@caict.ac.cn。

2

合同签订

报名完成后与中国信息通信研究院签订商务合同。

3

技术测试

合同确认后,我们会安排测试人员对接,向参评企业提供详细测试方法,并根据准备情况排期开展正式评估。

4

专家评审

本批评测结束后,由我院组织行业技术专家对参评产品进行答辩评审。

5

获取证书

专家评审通过之后,可获得可信云权威证书。证书将在可信云官网(http://kexinyun.org.cn/)同步更新。

评估咨询

仇老师 qiubaoqi@caict.ac.cn继续滑动看下一个

重磅 | 中国信通院2024年第一批【可信云·云原生安全类】评估正式启动 云原生安全实验室 云计算与大数据研究所 轻触阅读原文

云计算与大数据研究所

原标题:《重磅 | 中国信通院2024年第一批【可信云·云原生安全类】评估正式启动》

picture loss