揭榜!2022年下半年可信云·云原生安全类评估结果发布

admin 2023年1月11日13:56:34云安全评论5 views2478字阅读8分15秒阅读模式


全球数字经济进入高速发展期,数字经济已成为我国经济增长的重要组成部分和推进我国经济发展的新增长极,加快推进各产业数字化转型,成为“十四五”时期的重要阶段性目标。构建以云计算为核心的数字基础设施实现IT架构的现代化改造已成为社会共识,云原生作为下一代云计算的核心技术内核,下一代的软件架构范式,对产业数字化、数字产业化发挥着重要作用。


2023年1月9日,中国信息通信研究院主办的云原生产业联盟年会在北京召开,大会上正式发布了云原生应用保护平台(CNAPP)、Web应用和API保护(WAAP)和云原生API安全治理能力首批评估结果,以及云原生安全成熟度评估的新增评估结果。


揭榜!2022年下半年可信云·云原生安全类评估结果发布


通评企业如下

云原生应用保护平台(CNAPP)评估(首批)

奇安信网神信息技术(北京)股份有限公司

北京小佑网络科技有限公司

北京升鑫网络科技有限公司(青藤云)

杭州默安科技有限公司

Web应用和 API 保护(WAAP)评估(首批)

华为云计算技术有限公司

瑞数信息技术(上海)有限公司

云原生API安全治理能力评估(首批)

瑞数信息技术(上海)有限公司

腾讯云计算(北京)有限责任公司

揭榜!2022年下半年可信云·云原生安全类评估结果发布

云原生安全成熟度评估

中国农业银行股份有限公司

基础设施安全域  L4

云原生基础架构安全域 L4

云原生应用安全域 L4

云原生研发运营安全域 L4

云原生安全运维域 L4


中移信息技术有限公司

基础设施安全域  L4

云原生基础架构安全域 L4

云原生研发运营安全域 L4


奇安信网神信息技术(北京)股份有限公司

云原生基础架构安全域 L4  


北京升鑫网络科技有限公司(青藤云)

云原生基础架构安全域 L4


绿盟科技集团股份有限公司

云原生基础架构安全域 L4

揭榜!2022年下半年可信云·云原生安全类评估结果发布


(一)云原生安全成熟度评估

评估面向云原生平台及应用的安全体系,评估融合了零信任、安全左移、持续监测与响应以及可观测四大理念,涵盖基础设施安全、云原生基础架构安全、云原生应用安全、云原生研发运营安全和云原生安全运维5个能力域、15个能力子项、46个实践项和近400个细分指标要求,用于帮助用户快速对照、定位云原生平台与应用的安全防护能力水平,诊断问题,并根据自身业务需求结合模型高阶能力定制安全能力演进方向。


揭榜!2022年下半年可信云·云原生安全类评估结果发布


(二)云原生应用保护平台(CNAPP)能力评估

云原生应用保护平台(CNAPP)是云原生应用程序的最佳安全性实践,包含制品扫描、云配置和运行时保护等在内的一组安全性和合规性功能,实现了从代码开发到构建、到部署运行整个应用生命周期的安全可视化以及安全防护,提升了云原生系统端到端的可观测性和系统防护能力。Gartner提出了云原生应用保护平台(CNAPP)模型,中国信息通信研究院也牵头编制了《云原生应用保护平台(CNAPP)能力要求》标准。


本评估以此标准为依据,包括制品安全、基础设施安全和运行时安全三大能力域,覆盖云原生应用研发运营全生命周期,同时兼顾平台的双向反馈和环境适配能力,共计15个功能模块,包含500+能力项,全面详细地评估云原生应用的安全防护能力。本评估同时适用于云服务、平台、工具和解决方案,有平台类和工具类两种评估模式,平台类是指15个功能模块的整体评估,工具类是指分域分模块独立评估。


揭榜!2022年下半年可信云·云原生安全类评估结果发布


(三)容器平台安全能力评估

评估从基础设施安全、容器镜像安全、容器运行时安全和日志审计四个方面对容器平台的整体安全能力进行评估。基础设施安全包括基础设施安全部加固、集群组件加固、多租户安全隔离和容器网络安全策略四个部分;容器镜像是平台对应用进行生命周期(开发、构建、部署等)过程管理的核心媒介,容器镜像安全主要包括镜像扫描、镜像传输和镜像仓库管理三个部分;容器运行时安全提供运行状态的容器资源及容器内数据的安全防护能力,包括资源隔离、数据信息加密、安全策略管理和运行时检测四个部分;日志审计主要对基于容器的平台集群组件、API对象、资源访问等操作日志的记录、聚合能力进行评估。


揭榜!2022年下半年可信云·云原生安全类评估结果发布


(四)容器安全解决方案评估

容器安全解决方案评估面向安全服务商,全面考察对容器平台提供安全解决方案的能力。更加着重考察解决方案针对镜像和运行时的多维度威胁攻击发现与防护能力,以及事前事中事后全方位的安全防护能力。


本评估为分级评估,能力分为基础级、增强级和先进级三级,不同能力对应的测试用例有所不同,测试用例中的参考项可根据业务需求选择性满足。


评估能力要求如下:

揭榜!2022年下半年可信云·云原生安全类评估结果发布

图 11 容器安全解决方案能力要求


(五)云原生API安全治理能力评估

云原生架构下信息流通以及各种程序、应用和系统之间的连接调用关系复杂,API数量激增、安全问题突出。Gartner在近日发布的《Hype Cycle for Application Security, 2022》报告中,再次阐明API作为企业数字化转型的重要基础设施已逐渐成为攻击者的主要攻击目标。本评估以《云原生安全能力 第1部分:API安全治理》标准为依据,从API资产管理能力、API风险评估能力、API权限控制能力和API安全监测能力等方面对API安全能力进行全面的评估。


揭榜!2022年下半年可信云·云原生安全类评估结果发布


(六)Web应用和API保护(WAAP)能力评估

Web应用程序和API保护是一种旨在保护 Web 应用程序和 API 免受各种日益复杂的网络攻击的安全技术,其核心功能包括Web应用防火墙、API保护、Bot防护和DDoS攻击防护。2021年,Gartner将多年来发布的WAF魔力象限改为了Web应用和API保护(WAAP)魔力象限,进一步扩展了云上应用安全防护范围和安全深度。本评估以《云原生应用保护平台(CNAPP)能力要求》标准为依据,评估包括云Web安全防护、API安全防护、恶意机器人(Bot)保护和应用层DDoS防护四大方面,从攻击流量识别、主动攻击防护、API资产管理、API攻击防护、攻击行为识别、工具管理、智能防护策略和威胁情报分析等多个维度的对WAAP产品和服务的能力进行全面评估。


揭榜!2022年下半年可信云·云原生安全类评估结果发布


2023年可信云·云原生安全类评估即将开启!


报名或咨询请联系:

杜老师 [email protected]

李老师 [email protected]


揭榜!2022年下半年可信云·云原生安全类评估结果发布

原文始发于微信公众号(云原生安全实验室):揭榜!2022年下半年可信云·云原生安全类评估结果发布

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月11日13:56:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  揭榜!2022年下半年可信云·云原生安全类评估结果发布 http://cn-sec.com/archives/1511522.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: