近些年在IaaS云蓬勃发展的同时,SaaS市场更是百花齐放、如火如荼,各垂直领域的软件供应商纷纷转型SaaS,由安装版转向在线订阅服务。到2025年,企业级SaaS服务有望达到千亿级规模。云计算的蓬勃发展使云安全的市场规模也水涨船高,而云安全的“下半场”要看云原生安全、云应用安全和云数据安全。
CSA大中华区在2022年发布了CSA标准《云应用安全技术规范》,并与公安三所联合发布CAST云应用安全可信认证(简称CAST认证),旨在提升云应用类产品在生命周期各阶段的安全性、提升云应用类产品的整体安全能力。CAST认证对象覆盖SaaS产品、所有在线订阅类服务及IaaS/PaaS云的应用部分,是对企业在云应用安全领域技术能力和服务保障的高度认可。
自CAST认证发布以来,北森云、天翼安全、迪普科技、新华三等单位的相关产品相继通过公安三所的测评,并获得由CSA大中华区和公安三所共同颁发的CAST云应用安全可信认证证书。
获得CAST认证的企业能够快速向客户证明其产品在云应用领域的安全合规能力,为客户提供更高层次的信任,凸显产品的竞争优势。
1
《云应用安全技术规范》标准介绍
CSA《云应用安全技术规范》是业界第一个云应用安全类的标准,由三十多家云厂商和安全厂商共同参与起草。包括基础级和增强级两个等级。该标准从两个关键视角助力提升云应用安全:
- 云厂商视角:为云厂商构建安全的产品提供理论依据和指导,提升产品整体的安全性和合规能力。
- 云租户视角:为云租户的供应商选型提供理论依据和指导,提升云租户的安全专业能力,帮助为云租户安全的选择和使用云产品。
该标准的价值体现在以下几个方面:
- 建设指导:为云应用厂商研发安全的云应用产品提供明确指导,帮助云厂商构建安全的云应用。
- 评估指导:帮助云租户准确评估云应用的安全性,增强安全决策的信心。
此外,该标准还涵盖了“最后一公里安全”,确保云应用在实施、交付及服务过程中的安全性。除了云应用本身的安全以外,标准还包含了云应用架构设计、云应用运行环境、数据安全合规、隐私保护等方面的要求。
2
CAST认证介绍
认证名称
CSA Cloud Application Security Trust (简称“CAST认证”)。
认证对象
SaaS产品,所有在线订阅类服务,IaaS/PaaS云的应用程序部分如云操作系统等。
认证价值
通过CAST认证,厂商可以快速向租户证明其云应用的安全能力与合规能力,节省云厂商选型的评估成本,增强客户信任,提升产品的市场竞争力。
认证等级
依据CSA《云应用安全技术规范》,分为基础级、增强级两个等级。
认证标准
CAST认证所使用的测评标准由云安全联盟大中华区和公安三所联合三十多家云厂商和安全厂商,基于CSA标准《云应用安全技术规范》起草。
认证机构
公安三所、云安全联盟大中华区 联合认证。
认证期限
CAST证书的有效期3年,证书失效后需重新申请测评和认证。
内容来源于:开展云计算业务?你需要一个CAST认证!