揭榜！2022年下半年可信云·云原生安全类评估结果发布

2023年1月9日，中国信息通信研究院主办的云原生产业联盟年会在北京召开，大会上正式发布了云原生应用保护平台（CNAPP）、Web应用和API保护（WAAP）和云原生API安全治理能力首批评估结果，以及云原生安全成熟度评估的新增评估结果。

评估面向云原生平台及应用的安全体系，评估融合了零信任、安全左移、持续监测与响应以及可观测四大理念，涵盖基础设施安全、云原生基础架构安全、云原生应用安全、云原生研发运营安全和云原生安全运维5个能力域、15个能力子项、46个实践项和近400个细分指标要求，用于帮助用户快速对照、定位云原生平台与应用的安全防护能力水平，诊断问题，并根据自身业务需求结合模型高阶能力定制安全能力演进方向。

云原生应用保护平台（CNAPP）是云原生应用程序的最佳安全性实践，包含制品扫描、云配置和运行时保护等在内的一组安全性和合规性功能，实现了从代码开发到构建、到部署运行整个应用生命周期的安全可视化以及安全防护，提升了云原生系统端到端的可观测性和系统防护能力。Gartner提出了云原生应用保护平台（CNAPP）模型，中国信息通信研究院也牵头编制了《云原生应用保护平台（CNAPP）能力要求》标准。

本评估以此标准为依据，包括制品安全、基础设施安全和运行时安全三大能力域，覆盖云原生应用研发运营全生命周期，同时兼顾平台的双向反馈和环境适配能力，共计15个功能模块，包含500+能力项，全面详细地评估云原生应用的安全防护能力。本评估同时适用于云服务、平台、工具和解决方案，有平台类和工具类两种评估模式，平台类是指15个功能模块的整体评估，工具类是指分域分模块独立评估。

评估从基础设施安全、容器镜像安全、容器运行时安全和日志审计四个方面对容器平台的整体安全能力进行评估。基础设施安全包括基础设施安全部加固、集群组件加固、多租户安全隔离和容器网络安全策略四个部分；容器镜像是平台对应用进行生命周期（开发、构建、部署等）过程管理的核心媒介，容器镜像安全主要包括镜像扫描、镜像传输和镜像仓库管理三个部分；容器运行时安全提供运行状态的容器资源及容器内数据的安全防护能力，包括资源隔离、数据信息加密、安全策略管理和运行时检测四个部分；日志审计主要对基于容器的平台集群组件、API对象、资源访问等操作日志的记录、聚合能力进行评估。

容器安全解决方案评估面向安全服务商，全面考察对容器平台提供安全解决方案的能力。更加着重考察解决方案针对镜像和运行时的多维度威胁攻击发现与防护能力，以及事前事中事后全方位的安全防护能力。

本评估为分级评估，能力分为基础级、增强级和先进级三级，不同能力对应的测试用例有所不同，测试用例中的参考项可根据业务需求选择性满足。

评估能力要求如下：

图 11 容器安全解决方案能力要求

云原生架构下信息流通以及各种程序、应用和系统之间的连接调用关系复杂，API数量激增、安全问题突出。Gartner在近日发布的《Hype Cycle for Application Security, 2022》报告中，再次阐明API作为企业数字化转型的重要基础设施已逐渐成为攻击者的主要攻击目标。本评估以《云原生安全能力 第1部分：API安全治理》标准为依据，从API资产管理能力、API风险评估能力、API权限控制能力和API安全监测能力等方面对API安全能力进行全面的评估。

Web应用程序和API保护是一种旨在保护 Web 应用程序和 API 免受各种日益复杂的网络攻击的安全技术，其核心功能包括Web应用防火墙、API保护、Bot防护和DDoS攻击防护。2021年，Gartner将多年来发布的WAF魔力象限改为了Web应用和API保护（WAAP）魔力象限，进一步扩展了云上应用安全防护范围和安全深度。本评估以《云原生应用保护平台（CNAPP）能力要求》标准为依据，评估包括云Web安全防护、API安全防护、恶意机器人（Bot）保护和应用层DDoS防护四大方面，从攻击流量识别、主动攻击防护、API资产管理、API攻击防护、攻击行为识别、工具管理、智能防护策略和威胁情报分析等多个维度的对WAAP产品和服务的能力进行全面评估。

2023年可信云·云原生安全类评估即将开启！