YDT 4409.3-2023云原生能力成熟度模型 第3部分：架构安全

ICS35.210

CCSL77

YD

中华人民共和国通信行业标准

YD/T[×××××]—[××××]

云原生能力成熟度模型

第3部分：架构安全

Cloudnativecapabilitymaturitymodel—

Part3:Architecturesecurity

（报批稿）

[××××]-[××]-[××]发布[××××]-[××]-[××]实施

中华人民共和国工业和信息化部发布

YD/TXXXX-XXXX

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件是云原生能力成熟度系列标准之一。该标准的结构和名称预计如下：

——第1部分：技术架构；

——第2部分：业务应用；

——第3部分：架构安全；

——第4部分：电信行业IT业务系统；

——第5部分：中间件。

本文件为第3部分。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本文件由中国通信标准化协会提出并归口。

本文件起草单位：中国信息通信研究院、阿里云计算有限公司、腾讯云计算（北京）有限公司、华

为技术有限公司、北京百度网讯科技有限公司、北京小佑网络科技有限公司、北京升鑫网络科技有限公

司、北京神州绿盟科技有限公司、安易科技（北京）有限公司、山石网科通信技术股份有限公司、北京

天融信网络安全技术有限公司。

本文件主要起草人：杜岚、郑剑锋、栗蔚、陈屹力、刘如明、周丹颖、张大江、汪圣平、匡大

虎、朱松、彭玉轩、赵奕豪、黄鹤清、张宇、卢宏旺、刘亚东、莫若、乐元、李滨、江国龙、张祖

优、姬生利、罗启汉、房双德、袁曙光、刘斌、白黎明、胡俊、李漫、阮博男、王亮、任亮、李玮。

I

YD/TXXXX-XXXX

引言

伴随着云原生日益成熟，容器、微服务、服务网格等云原生技术逐步在企业业务应用研发建设中落

地应用。为评估基于云原生构建的企业技术平台和业务应用能力成熟度水平，促进云原生技术广泛落地，

开展云原生能力成熟度模型标准化活动势在必行。《云原生能力成熟度模型》系列标准拟由5部分构成。

——第1部分：技术架构。目的在于规范云原生技术架构和服务能力，指导服务提供商和用户建设

云原生技术平台。

——第2部分：业务应用。目的在于指导用户基于云原生的业务应用系统建设路径，帮助用户提升

云原生应用水平。

——第3部分：架构安全。目的在于规范云原生安全架构和服务能力，指导服务提供商和用户提高

云原生平台和应用的安全水平。

——第4部分：电信行业IT业务系统。目的在于指导电信行业用户基于云原生的IT业务系统的建设

路径，帮助电信行业用户提升云原生应用水平。

——第5部分：中间件。目的在于规范中间件平台服务能力，指导服务提供商和用户建设中间件平

台服务。

II

YD/TXXXX-XXXX

云原生能力成熟度模型第3部分：架构安全

1范围

本文件规定了基于云原生构建的平台与应用的安全能力成熟度评估模型，包括基础设施安全域、云

原生基础架构安全域、云原生应用安全域、云原生研发运营安全域以及云原生安全运维域五个方面。

本文件适用于企业在云原生平台与应用构建过程中，对其安全能力进行评估，也适用于为企业提供

云原生安全能力建设的参考和指引。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22239-2019信息安全技术网络安全等级保护基本要求

GB/T32399-2015信息技术云计算参考架构

GB/T32400-2015信息技术云计算概览与词汇

GB/T31167-2014信息安全技术云计算服务安全能力要求

GB/T31168-2014信息安全技术云计算服务安全指南

3术语和定义

GB/T25069—2010、GB/T31167-2014、GB/T31168-2014、GB/T32400-2015、GB/T22239-2019界

定的及下列术语和定义适用于本文件。

3.1

网络安全cybersecurity

通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处

于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

[来源：GB/T22239—2019，定义3.1]

3.2

云原生cloudnative

面向云应用设计的一种思想理念，充分发挥云效能的最佳实践路径，帮助企业构建弹性可靠、松

耦合、易管理、可观测的应用系统，提升交付效率，降低运维复杂度。

3.3

宿主机hostmachine

1

YD/TXXXX-XXXX

运行虚拟机监视器的物理服务器。

[来源：GB/T22239—2019，定义3.8]

3.4

容器container

一种进程级的虚拟化隔离技术。

3.5

微服务microservices

一种应用架构模式，该架构下的一组服务运行在其独立的进程中，各服务之间是松耦合的，服务与服务

间采用轻量级的通信机制进行通信。

3.6

无服务器serverless

将基础设施资源抽象成按需使用的服务，用户只需关注应用逻辑，而无需管理复杂的基础设施运维

工作的设计模式。

3.7

组件component

可包含在某一保护轮廓、安全目标或包中最小可选元素的集合。

[来源：GB/T25069—2010，2.3.116]

3.8

基线baseline

经过一个正式评审并通过的规约或产品，作为后期开发的基础。对其变更只有通过正式的变更控制

规程方可进行。

[来源：GB/T25069—2010，]

3.9

安全策略securitypolicy

用于治理组织及其系统内在安全上如何管理、保护和分发资产（包括敏感信息）的一组规则、指导

和实践，特别是那些对系统安全及相关元素有影响的资产。

[来源：GB/T25069—2010，2.3.2]

3.10

签名signature

签名生成过程产生的一个或多个数据元素。用实体的私钥对相关数据进行秘钥变换。

[来源：GB/T25069—2010，40]

3.11

敏感信息sensitiveinformation

由权威机构确定的必须受保护的信息，该信息的泄露、修改、破坏或丢失会对人或事产生可预知的

损害。

2

YD/TXXXX-XXXX

[来源：GB/T25069—2010，]

4缩略语

下列缩略语适用于本文件。

ACL：访问控制列表（AccessControlList）

API：应用程序接口（ApplicationProgrammingInterface）

DDoS：分布式拒绝服务攻击（DistributedDenialofService）

DoW:拒绝钱包攻击（Daniel-of-WalletAttack）

IDE：集成开发环境（IntegratedDevelopmentEnvironment）

RBAC：基于角色的访问控制（Role-BasedAccessControl）

SSL：安全套接字协议（SecureSocketLayer）

TLS：安全层传输协议（TransportLayerSecurity）

5云原生安全成熟度模型

5.1概述

云原生安全成熟度模型如图1云原生安全成熟度模型所示从基础设施安全、云原生基础架构安全、

云原生应用安全、云原生研发运营安全和云原生安全运维五个能力域综合评估云原生安全能力成熟度

水平，具体如下：

——基础设施安全域：评估承载云原生架构的底层计算、存储和网络等基础设施资源的安全防护能

力水平。

——云原生基础架构安全域：评估云原生PaaS平台网络、编排引擎与组件、镜像以及容器运行时等

的安全防护能力水平。

——云原生应用安全域：从访问控制、通信安全、API安全、可用性、监控等维度评估微服务、无

服务器等不同形态的云原生应用的安全防护能力水平。

——云原生研发运营安全域：从安全需求分析、开发安全和测试安全等维度评估企业应用研发测试

关键环节的安全防护能力水平。

——云原生安全运维域：从安全管理和安全运营两个维度评估云原生平台与应用整体的安全运维

能力水平。

3

YD/TXXXX-XXXX

图1云原生安全成熟度模型

5.2等级划分

云原生安全成熟度根据基础设施安全域、云原生基础架构安全域、云原生应用安全域、云原生研发

运营安全域以及云原生安全运维域成熟度综合计算，共分为五级，5级是最高级，1级到5级云原生安全

能力水平逐级递增，高级别需满足低级别全部能力要求。具体如表1所示：

表1云原生安全成熟度等级定义

级别英文中文定义

具备概念级的云原生安全防护能力，基于安全的

1级InitialLevel初始级

架构设计及云原生平台自身的安全机制。

具备基础的云原生安全防护能力，具备模块级的

云原生安全防护体系；能够防御拥有少量资源的

2级FundamentalLevel基础级

威胁源发起的恶意攻击，能够发现重要的安全漏

洞和处置安全事件。

具备较完整的云原生安全防护能力，具备多个模

块和单系统级云原生安全防护体系；能够防御拥

3级ComprehensiveLevel全面级

有一定量资源的威胁源发起的恶意攻击，能够及

时发现、监测攻击行为和处置安全事件。

具备体系化的云原生安全防护能力，具备多个系

统联动的云原生安全防护体系；能够防御拥有较

4级ExcellentLevel优秀级丰富资源的威胁发起的恶意攻击，能够及时发现、

监测攻击行为，并可通过自动化手段处置安全事

件。

具备超前的云原生安全防护能力，具备引领级的

5级FabulousLevel卓越级

云原生安全防护体系；能够对云原生恶意攻击行

4

YD/TXXXX-XXXX

为进行预判告警，具备自动化监测和威胁自愈能

力。

6基础设施安全域

6.1计算安全

计算安全是指承载云原生架构的底层算力支撑单元的安全能力，包括资源隔离、访问控制、安全加

固和攻击防护等方面，具体要求见表2。

表2计算安全能力要求

级别计算安全

能力要求：

1

应支持节点级别的计算资源隔离；

在1级基础上，满足以下能力要求：

1）应支持多租户计算资源管理和隔离；

2）应支持基于用户角色的访问控制；

23）应支持云主机系统软件漏洞扫描；

4）应支持云主机安全配置基线检测；

5）应支持云主机入侵检测，包括异常登录、口令破解、恶意程序、高危命令、提权行为、关

键文件操作、异常shell等检测。

在2级基础上，满足以下能力要求：

1）应支持云主机系统软件漏洞库实时更新；

2）应支持一种以上常用操作系统版本的漏洞扫描；

3）应支持漏洞扫描策略配置，包括漏洞类型、扫描范围、扫描时间等；

4）应支持漏洞扫描结果分析与修复方案建议，结果分析包括漏洞发现情况、漏洞基本信息、

3威胁等级、影响范围等；

5）应支持基线检测策略配置，包括基线检测项、检测范围、检测时间等；

6）应支持基线检测结果分析与修复方案建议，结果分析包括基线通过情况、威胁等级、影

响范围等；

7）应支持入侵检测策略配置，包括入侵事件、检测范围、告警规则等；

8）应支持入侵行为告警和处置建议。

在3级基础上，满足以下能力要求：

1）应支持除用户名密码外的其他强身份鉴别措施，如短信验证、UKey、证书等

2）应支持结合资产、业务和修复影响等场景特征的威胁评级和修复配置建议；

43）应支持部分漏洞自动修复；

4）应支持智能化异常行为检测；

5）应支持部分入侵行为自动处置；

6）应支持处理情况跟踪。

在4级基础上，满足以下能力要求：

5

应支持环境自适应的云主机自动安全加固和攻击防护。

5

YD/TXXXX-XXXX

6.2网络安全

网络安全是指承载云原生架构的底层网络通信单元的安全能力，包括访问控制、安全通信、网络攻

击防护等方面，具体要求见表3。

表3网络安全能力要求

级别网络安全

能力要求：

1

应支持云基础设施管理流量和业务流量隔离。

在1级基础上，满足以下能力要求：

1）应支持多租户网络隔离；

22）应支持ACL资源访问控制，支持ACL策略设置；

3）应支持网络安全组设置；

4）应具有通信传输、边界防护、入侵防范等安全机制。

在2级基础上，满足以下能力要求：

31）应支持网络安全策略设置，包括定义访问路径、选择安全组件、配置安全策略

2）应支持VPN，实现加密通讯；

在3级基础上，满足以下能力要求：

1）应支持安全策略合规审计、潜在风险检测；

4

2）应支持云内资源的主动外联网络侧检测与阻断；

3）应支持智能化异常流量检测与防护。

在4级基础上，满足以下能力要求：

5

应支持零日、高级可持续威胁攻击的检测与防护。

6.3存储安全

存储安全是指承载云原生架构的底层存储单元的安全能力，包括数据保护、数据备份与恢复和剩余

信息保护等方面，具体要求见表4。

表4存储安全能力要求

级别存储安全

1

应支持限制平台管理员访问用户业务数据。

在1级基础上，满足以下能力要求：

1）应支持租户间数据隔离，包括但不限于日志、监控数据、存储资源等；

2）应支持数据存储备份和恢复，并支持完整性校验；

23）应保证虚拟机所使用的内存和存储空间回收时得到完全清除；

应遵循GB/T22239-2019的要求

4）云服务客户删除业务应用数据时，云计算平台应将云存储中所有副本删除。

应遵循GB/T22239-2019的要求

在2级基础上，满足以下能力要求：

31）应支持身份鉴别信息加密存储；

2）应支持备份策略设置，包括定时备份、即时备份、全量备份和增量备份。

在3级基础上，满足以下能力要求：

4

1）应支持本地备份数据自动同步到异地备份服务器；

6

YD/TXXXX-XXXX

2）应支持本地数据误删除后，从异地备份服务器恢复本地数据；

3）应支持设置主备两个备份服务器策略，防止单点故障；

4）应支持云盘加解密；

5）应支持基于云服务的KMS实现数据的加解密。（适用于公有云）。

在4级基础上，满足以下能力要求：

5

应支持数据操作行为的异常检测。

7云原生基础架构安全域

云原生基础架构安全域是指云原生PaaS平台的安全能力，包括云原生网络安全、编排及组件安全、

镜像安全及容器运行时安全四个能力子项。

7.1云原生网络安全

云原生网络安全是指云原生环境的网络安全能力，具体要求见表5。

表5云原生网络安全能力要求

级别云原生网络安全

1能力要求：

应支持容器平台业务面与控制管理面的网络分离。

在1级基础上，满足以下能力要求：

1）应支持容器的外网访问限制；

22）应支持容器和宿主机之间的网络访问限制；

3）应支持容器集群、namespace、Pod、IP及端口号不同粒度的网络流量限制，如通过

NetworkPolicy设置。

在2级基础上，满足以下能力要求：

1）应支持应用层网络策略控制，进行应用级别的访问控制；

3

2）应支持容器网络拓扑和流量可视化；

2）应支持失陷容器隔离、攻击流量阻断。

在3级基础上，满足以下能力要求：

1）应支持应用层网络流量分析，识别异常行为；

2）应支持流量加密，例如TLS/SSL；

43）应支持流量审计和流量镜像能力，提供完整容器流量做细粒度安全审计；

4）应支持微隔离策略的自动生成；

5）应支持微隔离策略的告警模式；

6）应支持半自动化的失陷容器隔离、攻击流量阻断。

在4级基础上，满足以下能力要求：

5

应支持全流量威胁检测和智能阻断。

7.2编排及组件安全

编排及组件安全是指容器编排引擎及其核心组件的安全能力，包括集群组件安全加固、敏感信息保

护和访问控制等方面，具体要求见表6。

7

YD/TXXXX-XXXX

表6编排及组件安全能力要求

级别编排及组件安全

1）应支持用户对集群编排层资源的访问控制；

1

2）应支持集群内部组件之间应的访问控制，保障组件网络安全性，组件例如APIServer、

Kubelet、Etcd。

在1级基础上，满足以下能力要求：

1）应支持集群安全基线设置和合规扫描，包括但不限于操作系统、容器编排引擎、容器运

行时以及自定义安全基线；

2）应支持对集群内组件的安全漏洞扫描及修复（只跟随版本做漏洞响应）；

2

3）应支持对集群内组件的安全漏洞库实时更新；

4）应支持对集群内组件的身份认证、秘钥等敏感信息进行加密保护；

5）应支持集群内组件使用安全协议传输通信，如TLS/SSL等；

6）对外暴露服务的集群组件应具备防DDoS攻击的能力。

在2级基础上，满足以下能力要求：

1）应能限制外网访问容器操作的能力；

3

2）应支持对集群内组件的证书、秘钥等敏感信息进行托管保护；

3）应支持对集群共享存储内容加密，如Etcd存储内容。

在3级基础上，满足以下能力要求：

41）应支持对集群编排组件的攻击检测和阻断；

2）应支持对集群编排组件的安全事件审计，以发现攻击或异常行为。

在4级基础上，满足以下能力要求：

5

应支持对集群组件的安全漏洞提供虚拟补丁，在不具备修复条件时提供防护能力。

7.3镜像安全

7.3.1镜像仓库管理

镜像仓库管理是指镜像仓库自身的脆弱性加固、攻击防护能力、镜像传输安全与镜像的管理能力，

具体要求见表7。

7.3.2镜像扫描

镜像扫描是指针对镜像漏洞、不安全配置以及恶意程序的安全扫描，具体要求见表7。

表7镜像安全能力要求

级别镜像仓库管理镜像扫描

能力要求：能力要求：

1

具备镜像的集中管理能力。1）应能应用工具对单个镜像进行漏洞扫

1）应采用镜像仓库对镜像进行集中管理；描。

在1级基础上，满足以下能力要求：

在1级基础上，满足以下能力要求：

具备灵活的访问推拉策略和加密传输功

具备批量化扫描、分析标注、修复指引和

能，支持镜像漏扫和仓库的安全基线检查

2漏洞管理能力。

与修复。

1）应支持批量化镜像漏洞扫描，并支持扫

1）应支持镜像仓库访问基于IP的访问控

描结果统计分析；

制；注：适用于私有云场景。

8

YD/TXXXX-XXXX

2）应支持镜像仓库访问基于角色的访问控2）应支持扫描结果标签化标注，如危险等

制；级、危险类别标注；

3）应支持镜像仓库访问策略自定义，以管3）应支持漏洞修复指引；

理镜像的推送、拉取权限；4）应支持镜像漏洞管理，如针对已扫描镜

4）应支持镜像文件加密传输；像新发现漏洞的反向追踪；

5）应支持镜像仓库与扫描引擎的对接集5）应支持漏洞库更新；

成；6）应支持对接多个漏洞库。

5）应支持对仓储镜像的漏洞扫描；

6）应支持对镜像仓库本身的安全性的检查

与修复，例如仓库自身漏洞与弱密码等问

题。

在2级基础上，满足以下能力要求：

支持DDos防御、镜像自动扫描和基于扫

在2级基础上，满足以下能力要求：

描结果的推拉限制。

具备对镜像内部的安全扫描及扫描规则

1）应支持DDos防御；注：该条目适用于

配置能力。

公有云场景。

1）应支持对镜像内敏感文件的扫描；

32）应支持基于镜像扫描结果的推拉限制，

2）应支持镜像配置的安全基线扫描；

如存在高危漏洞的镜像禁止从镜像库拉取

3）应支持镜像内恶意程序检测；

或禁止推入镜像仓库等操作；

4）应支持对镜像安全扫描规则的自定义

3）应支持镜像推入时的自动漏洞扫描；

配置。

4）应支持仓库镜像的扫描结果告警；

5）应支持仓库镜像的定期自动扫描。

在3级基础上，满足以下能力要求：在3级基础上，满足以下能力要求：

1）应支持镜像拉取的自定义策略限制；具备镜像扫描和处置与devops全流程对

2）应支持镜像完整性保护；接，以及定制化威胁排序能力。

3）应支持漏洞库更新时镜像仓库自动更新1）应支持在DevOps流程中自动完成镜像

4扫描；扫描；

4）应支持对长期未被下载使用且存在安全2）应支持镜像扫描分阶段匹配处置手段；

风险的镜像进行统计，并可设置策略定期3）应支持定制化安全漏洞风险排序；

自动清除；4）应能根据漏洞威胁排序结果的提出处

5）应支持风险镜像的应用追踪。置建议。

在4级基础上，满足以下能力要求：

在4级基础上，满足以下能力要求：

1）应支持环境自适应的漏洞威胁等级排

应支持仓库镜像的自动加固，如存在高危

5序；

镜像漏洞的镜像自动修复有修复版本的漏

2）应支持基于漏洞威胁等级排序结果的

洞。

镜像自动修复。

7.4运行时安全

7.4.1容器资源隔离限制

容器资源隔离限制是指容器资源细粒度的隔离及使用权限控制,具体要求见表8。

9

YD/TXXXX-XXXX

7.4.2容器数据信息加密

容器数据信息加密是指容器内关键数据的完整性与机密性保护，具体要求见表8。

表8容器运行时能力要求（1/2）

级别容器资源隔离限制容器数据信息加密

能力要求：

1）应支持基于命名空间的资源隔离；

12）应支持进程级别的资源隔离能力要求：

3）应支持容器CPU、内存资源使用限制；应对支持容器内的部分敏感数据进行加密。

4）应支持限制管理平台对租户容器内数

据的访问；

在1级基础上，满足以下能力要求：

1）应支持租户容器资源隔离和管理。在1级基础上，满足以下能力要求：

2

2）应支持容器文件系统调用权限的限制；应支持对容器存储数据全盘加密。

3）支持容器系统调用权限的限制。

在2级基础上，满足以下能力要求：

1）应支持容器磁盘资源使用速率限制；在2级基础上，满足以下能力要求：

32）应支持容器间网络流量的限制。应支持对接平台的凭据管理系统对身份认

3）应支持资源限制策略设置，例如资源保证、密钥等信息进行统一保护。

障优先级划分。

在3级基础上，满足以下能力要求：

在3级基础上，满足以下能力要求：

4应支持对接第三方凭据管理系统对身份认

1）宜支持使用独立内核的安全容器。

证、密钥等信息进行统一保护。

在4级基础上，满足以下能力要求：在4级基础上，满足以下能力要求：

5宜支持结合场景的轻量级独立内核，例如应支持基于可信执行环境的数据机密性、完

unikernel。整性保护，例如TEE。

7.4.3安全策略管理

安全策略管理是指容器安全策略的配置及管理,具体要求见表9。

7.4.4容器运行时检测

容器运行时检测是指对容器异常行为的检测与审计,具体要求见表9。

表9运行时安全能力要求（2/2）

级别安全策略管理容器运行时检测

1能力要求：能力要求：

应支持容器监测策略管理应支持容器健康状态检查。

在1级基础上，满足以下能力要求：

在1级基础上，满足以下能力要求：支持基础的安全扫描。

21）应支持限制容器以root权限运行；1）应支持容器启动运行后的安全扫描，如

2）应支持限制容器以特权模式运行。基线扫描；

2）支持基于白名单的容器内程序运行控制；

10

YD/TXXXX-XXXX

3）应支持特权容器运行监测告警；

在2级基础上，满足以下能力要求：

1）应支持容器内异常连接行为检测；

2）应支持容器内敏感文件操作行为检测；

3）应支持高危系统调用行为检测；

在2级基础上，满足以下能力要求：

4）应支持容器逃逸检测，并能区分不同的

1）应支持对容器的文件目录做权限策略

逃逸行为；

控制，如对容器目录做只读权限限定，对

5）应支持恶意文件、异常进程检测，并能

3宿主机映射目录做权限控制；

区分不同的威胁类型，包括但不限于病毒木

2）应支持对容器资源的强制访问控制策

马、webshell等；

略配置；

6）应支持用于平台安全审计、威胁溯源分

3）应支持控制台的远程访问控制。

析的数据采集；

7）应支持容器级别的威胁响应，包括但不

限于隔离容器网络、暂停容器、杀死容器等；

8）应具备威胁响应能力。

在3级基础上，满足以下能力要求：

1）应支持容器中无文件攻击检测，包含但

不限于内存级恶意代码检测；

在3级基础上，满足以下能力要求：

2）应支持基于行为模式的异常行为检测；

4应支持镜像使用规则设置，阻止不符合安

3）应支持安全检测策略自定义；

全要求的镜像实例化运行。

4）应支持容器内资源控制的威胁响应能力，

包括但不限于进程阻断、文件隔离等；

5）应具备部分威胁自动化响应能力。

在4级基础上，满足以下能力要求：

在4级基础上，满足以下能力要求：

5应具备实时自动化、多设备联动的威胁响应

应具备场景自适应的安全策略管理能力。

能力。

8云原生应用安全域

8.1通用安全

8.1.1访问控制

访问控制是指细粒度的云原生应用访问控制，具体要求见表10。

8.1.2安全通信

安全通信是指应用间通信的机密性与完整性保护，以及异常流量监测与阻断，具体要求见表10。

表10云原生应用安全能力要求（1/2）

级别访问控制安全通信

1能力要求：能力要求：

应禁用匿名用户访问；应支持云原生应用通信的可用性保护。

11

YD/TXXXX-XXXX

在1级基础上，满足以下能力要求：在1级基础上，满足以下能力要求：

1）应具备要求用户口令复杂度的功能；应支持南北向通信的机密性、完整性保护。

2）应支持对多次错误登录的账号或IP进

2行锁定；

3）应支持基于角色的访问控制；

4）对外服务应具备分层级的访问控制能

力；

在2级基础上，满足以下能力要求：在2级基础上，满足以下能力要求：

1）应支持单点登录与第三方授权登录等1）应支持东西向通信的机密性、完整性保

功能；护；

2）应支持多因素认证；2）应支持南北向的流量分析，拦截恶意流

3）应支持异常登录告警；量；

3

4）应提供细粒度的内部应用间的访问控3）应支持对不同安全级别的应用进行网络

制；隔离。

5）应提供基于黑名单的访问控制策略；

6）应支持基于白名单的访问控制策略；

7）应支持最小权限原则。

在3级基础上，满足以下能力要求：

在3级基础上，满足以下能力要求：

1）应支持东西向的流量分析，拦截恶意流

1）应具备三权分立的权限管理机制；

4量；

2）应支持应用微隔离策略的自动生成；

2）应支持南北向流量的行为学习和建模，

3）应支持应用微隔离策略的告警模式；

对行为模型外的流量自动拦截。

在4级基础上，满足以下能力要求：

应在4级基础上，满足以下能力要求：

5应支持东西向流量的行为学习和建模，对行

应支持实时可信度度量的访问控制机制。

为模型外的流量自动拦截。

8.1.3API安全

API安全是指云原生应用中的API安全管理、检测与防护，具体要求见表11。

8.1.4攻击防护

攻击防护包含南北向与东西向的应用攻击防护，具体要求见表11。

表11云原生应用安全能力要求（2/2）

级别API安全攻击防护

1能力要求：能力要求：

应支持API访问控制应支持应用访问控制。

在1级基础上，满足以下能力要求：

在1级基础上，满足以下能力要求：

1）应支持注入攻击防护，包括但不限于SQL

1）应支持API自动发现；

注入、XSS、PHP注入等；

22）应支持API状态监测；

2）应支持反序列化攻击防护、WebShell上

3）应支持API漏洞扫描。

传等攻击防护；

3）应支持应用层DDoS攻击防护

12

YD/TXXXX-XXXX

在2级基础上，满足以下能力要求：在2级基础上，满足以下能力要求：

1）应支持API资产管理；1）应支持自定义WAF规则，通过正则表达

2）应能对API漏洞扫描结果给出修复建式防护最新web攻击；

3议；2）应支持网页防篡改功能；

3）应支持基于规则的敏感信息识别；3）应支持盗链保护。

4）应支持敏感信息自定义；

5）应支持API异常行为检测与响应。

在3级基础上，满足以下能力要求：在3级基础上，满足以下能力要求：

1）应支持敏感信息的机密性、完整性保应支持智能化攻击检测。

护；

2）应支持敏感信息脱敏、拦截泄露；

43）应支持API业务逻辑梳理；

4）应支持API异常行为模型构建，并支

持智能化API异常行为检测；

5）应支持对部分API异常行为的自动响

应。

在4级基础上，满足以下能力要求：在4级基础上，满足以下能力要求：

1）应支持API漏洞及不安全配置的自适应支持对零日漏洞攻击的防护。

5应修复；

2）应支持对API异常行为的智能化自动

响应。

8.2微服务安全

8.2.1访问控制

访问控制是指微服务访问的认证、鉴权和控制，具体要求见表12。

表12访问控制能力要求

级别访问控制

能力要求：

1

1）管理后台应支持登陆、认证功能；

2）敏感接口应存在鉴权机制；

在1级基础上，满足以下能力要求：

1）管理后台应不允许默认弱口令；

2

2）注册中心、配置中心应支持鉴权机制；

3）应具备API资产管理能力；

在2级基础上，满足以下能力要求：

1）管理后台的账号体系应具备登陆尝试次数限制及风控机制；

32）应支持关键权限凭证加密存储；

3）应具备API状态监测能力；

4）配置中心应支持多粒度鉴权；

在3级基础上，满足以下能力要求：

4

1）管理后台的账号体系应支持多因素认证；

13

YD/TXXXX-XXXX

2）管理后台的账号体系应具备免密码登陆能力（Oauth）；

在4级基础上，满足以下能力要求：

1）注册中心、配置中心应具备来源访问黑白名单功能；

52）应支持关键权限凭证无损替换；

3）应具备API自动发现能力；

4）应能够提供授权引擎，支撑零信任安全架构。

8.2.2安全通信

安全通信是指微服务间通信的机密性与完整性保护，以及异常流量监测与阻断，具体要求见表13。

表13安全通信能力要求

级别安全通信

1能力要求：

应支持管理与业务面网络架构分离；

在1级基础上，满足以下能力要求：

2

应具备限制外网访问内部接口的能力；

在2级基础上，满足以下能力要求：

3

支持外网访问的接口应具备WAF、防火墙等防护机制；

在3级基础上，满足以下能力要求：

4

应支持单向应用层加密；

在4级基础上，满足以下能力要求：

5

应支持双向应用层加密。

8.2.3服务可用性

服务可用性是指业务在节点故障、被攻击、流量异常等情况下仍然可用，具体要求见表14。

表14服务可用性能力要求

级别服务可用性

能力要求：

1

1）应支持迅速降级被攻击影响的节点；

2）应支持手动扩容；

在1级基础上，满足以下能力要求：

21）应支持限流超过业务能力之外的流量；

2）应支持自动扩容；

在2级基础上，满足以下能力要求：

3

应支持隔离异常流量，控制攻击影响范围；

在3级基础上，满足以下能力要求：

4

应支持服务多副本部署，保证任何一个节点故障不影响整体服务可用性；

在4级基础上，满足以下能力要求：

5

应支持服务多可用区部署，任何一个可用区不可用不影响全局服务。

14

YD/TXXXX-XXXX

8.2.4日志监控

日志监控是指微服务的日志采集、审计、告警能力，具体要求见表15。

表15日志监控能力要求

级别日志监控

1能力要求：

日志采集应具备实时性；

在1级基础上，满足以下能力要求：

2

应能记录关键信息，包括但不限于时间、唯一标识、请求码；

在2级基础上，满足以下能力要求：

3

应支持日志导出；

在3级基础上，满足以下能力要求：

4

应支持自定义配置告警规则

在4级基础上，满足以下能力要求：

1）应支持通过日志定位请求的真实访问来源；

5

2）日志中应禁止记录完整的明文凭证；

3）应支持对异常行为的自动告警机制。

8.2.5代码安全

代码安全是指对微服务应用代码发现和修复漏洞的能力，具体要求见表16。

表16代码安全能力要求

级别代码安全

1能力要求：

应支持发现和修复微服务代码漏洞；

在1级基础上，满足以下能力要求：

2

应具备周期性的黑盒漏洞扫描能力和机制；