前段时间和圈内的好友交流，提及对目前一些安全规范不太理解的时候。问到该怎么去学习。

感觉还是蛮头痛的，后来这位好友说当年搞等保，就用了1个星期把22239给背下来了，果然是个狠人。

其实学习的方法有多用，但是最后源头还是觉得应该认真去看，类似GBT，其实专家已经帮你圈好了。

那么废话不多说，今天我们来看一下CSA的云应用技术安全规范。我只是个搬运工。

应用范围

SaaS云应用

PaaS云应用

IaaS云应用

在线订阅服务

应用形式

Web应用

移动App

API接口

小程序

后台应用程序

总体要求

共涉及基础要求、增强要求两个要求。主要侧重是需要满足基础要求。

架构设计要求

满足下列三点

1、高可用

2、高性能

3、高安全

大致会有负载均衡、异地灾备、业务弹性支持、资源数据隔离、默认安全原则、纵深防御机制。

环境安全要求

环境安全要求是云应用运行的基础。

大致有以下类别：

操作系统

容器与编排管理平台

数据库

中间件

熔断与环境隔离

基础的大致会涉及安全加固、监测防御、访问控制、漏洞及补丁管理、行为审计；

数据库的数据加密、管理员权限管控、访问控制、漏洞及补丁管理、数据库审计；

中间件的安全加固、访问控制、漏洞及补丁管理；

熔断与环境隔离涉及资源、数据隔离、异常访问熔断、隔离失效熔断。

应用程序安全要求

应用程序安全包含一下几个内容：

Web安全

移动App安全

API接口安全

小程序安全

后台应用程序安全

第三方SDK/类库安全

应用代码防泄漏

上述对应用程序涉及的基础要求，都按照类别进行了细分。

访问控制安全要求

访问控制安全要求，主要分为以下几个类别：

通信安全

安全访问区域

会话安全

身份与访问管理(IAM）

识别访问终端安全

租户级安全自助能力要求

租户级安全自助能力分为：

租户级IAM自助

租户级自助审计

云应用实施/交付/服务安全要求

需要关注交付形式

1、私有化部署交付

2、SaaS公有云交付

伴随的关键因素是责任主体的划分与承担责任的比例，包含安全职责、运维职责。

类别主要包含以下分类：

云应用实施/交付/服务安全控制

互操作与可移植性

安全即服务

功能扩展与定制化交付

数据安全要求

数据安全要求主要包含以下几类：

租户间数据隔离

数据机密性

数据可用性

数据完整性

隐私保护

数据位置与跨境

安全管理能力要求

安全管理能力主要责任方为云厂商，其次是云应用租户。

涉及的能力要求包含以下两个类别：

1、云应用厂商安全管理

2、云应用租户安全管理

CSA云应用安全技术规范 思维导图

按照规范要求整理，主要树状导航可以参考上文。