云应用安全性测试工作中的挑战与解决提示
  

漫花红小豆 6555

{{ttag.title}}

云计算已经给IT交付服务(包括存储、计算、部署与管理)带来巨大影响,同时自动化与虚拟化技术亦在快速成熟当中。在这些成熟技术的支持之下,如今云计算只剩下最后一道实施阻碍——安全性。云安全测试作为一类相对较新的服务模式,允许IT安全人员对服务供应商进行测试,从而准确把握云环境下应用的安全性水平。因此,云应用安全性测试的目标在于保证服务供应商以安全方式利用现有云技术及解决方案。

然而此类工作中仍存在着一系列挑战。下面,我们将共同探讨此类挑战以及与之相关的解决提示。

挑战一:分布式风险

云概念意味着其能够提供一套拥有几乎无限资源的共享式资源库。在将应用部署至云环境中时,人们往往希望能够充分发挥其分布式计算能力的优势,但这亦会带来新的安全挑战。另外,这种多租户模式也有可能造成业务信息泄露等潜在风险。此类风险具体包括:

数据隔离。云概念的核心在于资源共享。云环境下的数据可能会与其他客户的数据一同存储。如果客户数据隔离逻辑配置不当,即会引发信息泄露或者曝光风险。

隐私信息泄露。攻击者可能尝试绕过安全策略窃取机密数据。加密机制虽然有效,但却并非万试万灵。为了预防数据泄露,我们需要对数据者保护与隔离(包括闲置数据与处理中数据)。另外,确保采取强大的云安全规则。

服务丢失。云服务(包括其数据)的设计目标在于随时供授权用户访问。然而如果云端未采用高可用性架构,则有可能因拒绝服务攻击等因素造成服务不可用。2011年,Amazon云服务就曾经经历过数小时宕机,导致期间客户无法正常进行访问。

恶意攻击。攻击者能够利用自己的合法云实例上传恶意软件。如果云环境未针对横向或者纵向恶意软件传播提供应对措施,那么很有可能遭遇灾难性的潜在风险。

另外值得一提的是,除了上述安全风险,所有传统应用及基础设施安全风险也同样存在于云环境中。

挑战二:按需服务

需要指出的是,按需服务在不同场景下既可能属于优势,又可能带来弊端。作为客户,我们期望云服务能够实现及时交付、便捷访问并与其它组件共同保持数据保密性。服务供应商需要提供援助与整合工具。另外,供应商亦应保障合规性要求,并允许客户执行必要测试。另一方面,客户方面应该有选择地公开测试数据与服务信息,并向供应商传达自己的安全策略与要求。

挑战三:缺少标准

目前尚不存在得到广泛认可的云安全测试方法,具体途径仍取决于客户需求与供应商能力。部分服务供应商专注于云服务的某些方面,并在测试中忽略一些他们认为并不重要的因素。事实上,对于云安全性进行测试的相关方案及技术多种多样,因此我们应当尽可能将其纳入云体系,并了解其给服务质量及计费方式造成的影响。

尽可能降低影响

需要关注的安全性因素包括保密性、完整性以及可用性等等,这一切都应当作为安全系统设计工作中的必要目标。云应用需要以具备成本效益的方式提供安全性与数据隐私机制。另外,大家应当意识到云安全并非局限于应用程序组件,其亦涉及到网络与数据级安全性,包括对备份及灾难恢复方面的考量。

IT安全测试服务商与客户能够从现有云应用威胁模式当中汲取经验。了解云计算部署与服务模式之间的依赖性与关联对于评估云安全风险及控制能力非常重要。

另外,我们应当建立并加强能够识别及实现安全控制能力的安全策略,遵循行业最佳实践以解决云安全威胁及需求。再有,将外部审计要求及安全认证机制纳入当前安全策略,这一点对于云技术演进亦非常重要。

保持不同组件间的互操作性能够有效降低手动测试工作量、减少成本并节约时间。另外,请注意云组件的自身局限以及标准化集成能力,这些都是决定云环境下自动化测试技术适用性的重要因素。

总结

云安全性测试利用云计算资源执行按需测试操作。尽管云端的测试工作仍然面临众多挑战,但这些障碍并非不可克服。最重要的是,我们应当向服务商提出要求,从而确保应用程序、服务以及数据在云环境下的安全性。

打赏鼓励作者,期待更多好文!

打赏
18人已打赏

煮雨听茶 发表于 2018-4-8 09:55
  
不错,学习了
煮雨听茶 发表于 2018-10-29 23:23
  
我正在参加社区万圣节活动,楼主不给我豆豆,我就在你这儿捣蛋
七月人 发表于 2018-10-29 23:26
  
我正在参加社区万圣节活动,楼主不给我豆豆,我就在你这儿捣蛋
新手805957 发表于 2018-10-29 23:28
  
我正在参加社区万圣节活动,楼主不给我豆豆,我就在你这儿捣蛋
新手140153 发表于 2018-10-29 23:30
  
我正在参加社区万圣节活动,楼主不给我豆豆,我就在你这儿捣蛋
金宝 发表于 2018-10-29 23:33
  
我正在参加社区万圣节活动,楼主不给我豆豆,我就在你这儿捣蛋
红军 发表于 2018-10-29 23:35
  
我正在参加社区万圣节活动,楼主不给我豆豆,我就在你这儿捣蛋
新手098975 发表于 2019-5-20 00:23
  
不错,学习了
希望大家庭 发表于 2019-5-24 12:55
  
我正在参加社区万圣节活动,楼主不给我豆豆,我就在你这儿捣蛋
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版热帖

本版达人