云應(yīng)用程序的安全問(wèn)題和注意事項(xiàng)中專(zhuān)家表示，那些急于把內(nèi)部開(kāi)發(fā)的應(yīng)用程序放在云上，以節(jié)省成本并提高效率的企業(yè)，需要慎重考慮云環(huán)境中應(yīng)用程序的安全環(huán)境變化。

云應(yīng)用程序比較突出的安全問(wèn)題之一，是計(jì)算基礎(chǔ)設(shè)施缺少控制。微軟在線服務(wù)（Microsoft Online Services）部門(mén)的安全研究員兼經(jīng)理Russ McRee表示，企業(yè)把原來(lái)的應(yīng)用程序轉(zhuǎn)移到云計(jì)算環(huán)境中，就放棄了對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的控制，其中包括服務(wù)器、訪問(wèn)日志、事件響應(yīng)以及補(bǔ)丁管理等。

“你把控制權(quán)交給了提供這種服務(wù)的人。雖然這樣可以節(jié)省費(fèi)用并轉(zhuǎn)移管理負(fù)擔(dān)，但是也把控制權(quán)限讓出去了，”他說(shuō)道。

網(wǎng)絡(luò)和電子郵件安全公司Zscaler（位于加利福尼亞州森尼維爾市）副總裁Michael Sutton（他還是云安全聯(lián)盟的會(huì)員，該組織旨在推廣云安全的最佳實(shí)踐，是一個(gè)非盈利組織）指出：“在你自己的基礎(chǔ)設(shè)施中，你能夠明白發(fā)生了什么，”， “可是在這種情況下，你不知道。這只是其他人管理的云，他們可能不愿意與你分享他們是如何配置設(shè)備的。”

CSA的創(chuàng)辦會(huì)員Dennis Hurst（他還是惠普公司的安全專(zhuān)家）指出，大多數(shù)應(yīng)用程序都是以企業(yè)數(shù)據(jù)中心為基礎(chǔ)建立的，所以他們的存儲(chǔ)方式、與其他系統(tǒng)進(jìn)行數(shù)據(jù)傳輸?shù)姆绞蕉急徽J(rèn)為是可信的或者安全的。

“當(dāng)你把應(yīng)用程序轉(zhuǎn)移到云的時(shí)候，你必須要考慮到該應(yīng)用程序?qū)⑻幱谝粋€(gè)不太友好的環(huán)境中。”他指出，“原來(lái)可信的并且在安全環(huán)境中運(yùn)行的所有部件現(xiàn)在運(yùn)行在一個(gè)不受信任的環(huán)境中。你必須考慮更多的東西：網(wǎng)絡(luò)接口、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸?shù)取?rdquo;

不同的威脅模型

根據(jù)去年夏天發(fā)布的CSA的領(lǐng)域10： Application Security（應(yīng)用程序安全）V2.1指南，云計(jì)算基礎(chǔ)設(shè)施的靈活性、開(kāi)放性以及公眾可獲得性，為應(yīng)用程序安全的許多基本假設(shè)造成了困難。CSA建議，對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施缺乏物理控制這方面，可以在處理敏感數(shù)據(jù)的應(yīng)用程序服務(wù)器之間通信時(shí)采用加密技術(shù)，以確保其機(jī)密性。

應(yīng)用程序安全公司Veracode的共同創(chuàng)辦人和首席技術(shù)官Chris Wysopal（他還是CSA會(huì)員）表示，現(xiàn)在必須要重新考慮應(yīng)用程序處于公司內(nèi)部時(shí)公司能夠接受的風(fēng)險(xiǎn)，因?yàn)閼?yīng)用程序轉(zhuǎn)移給了云提供商。

比如，一個(gè)應(yīng)用程序訪問(wèn)服務(wù)器上帶有敏感數(shù)據(jù)的文件，但是沒(méi)有加密，一個(gè)公司可能接受這種風(fēng)險(xiǎn)，因?yàn)檫@些硬件都是自己的。“現(xiàn)在我們轉(zhuǎn)移到云上，那里沒(méi)有本地文件系統(tǒng)，它會(huì)登錄某些共享存儲(chǔ)陣列，現(xiàn)在你需要對(duì)其進(jìn)行加密。”

“威脅模型改變了，所以原來(lái)許多比較弱漏洞的威脅，現(xiàn)在都變得比較大了，你需要解決這些問(wèn)題，” Wysopal補(bǔ)充道。

McRee指出，在自己的數(shù)據(jù)中心運(yùn)行應(yīng)用程序的公司，可以用某些特定的基礎(chǔ)設(shè)施避開(kāi)拒絕服務(wù)攻擊，或者采取嚴(yán)厲的措施來(lái)阻止IP地址攻擊。“如果你委托你的云供應(yīng)商去做這些減弱攻擊的工作，他們會(huì)做的如何呢？你看不見(jiàn)他們?cè)谧鍪裁?。你需要重新考慮如何減輕這種風(fēng)險(xiǎn)或者攻擊。”

更改后的威脅模型需要在安全開(kāi)發(fā)生命周期中進(jìn)行驗(yàn)證，這是由微軟提出的理念，并在全球范圍內(nèi)應(yīng)用。“這很關(guān)鍵，”他說(shuō)，“你還應(yīng)該把所有這些原理應(yīng)用于你的應(yīng)用程序，理解應(yīng)用程序的內(nèi)部性質(zhì)，數(shù)據(jù)如何流動(dòng)，以及威脅模型等每一方面。重復(fù)地做這項(xiàng)工作直到你確定所有的標(biāo)準(zhǔn)SDL要求都得到了滿足。”

工具和服務(wù)

Zscaler的Sutton指出，在云環(huán)境中，企業(yè)不能使用跟公司內(nèi)部相同的安全工具和服務(wù)，比如說(shuō)網(wǎng)絡(luò)應(yīng)用防火墻等。舉個(gè)例子，一個(gè)公司為了給傳統(tǒng)應(yīng)用程序增加安全級(jí)別，使用了網(wǎng)絡(luò)應(yīng)用程火墻，在云中該公司不能再選擇這種工具。

“在云中，你不擁有那些基礎(chǔ)設(shè)施，也不能進(jìn)行管理，所以你不能簡(jiǎn)單地走進(jìn)數(shù)據(jù)中心然后把盒子放進(jìn)去，”他指出。

CSA的云應(yīng)程序安全指南指出，基礎(chǔ)設(shè)施服務(wù)提供商正在提供云應(yīng)用程序安全工具和服務(wù)，其中包括WAF、網(wǎng)絡(luò)應(yīng)用程序安全掃描以及源代碼分析工具等。該報(bào)告指出，這些工具或者是供應(yīng)商專(zhuān)用工具，或者是第三方專(zhuān)用工具。

McRee建議那些把應(yīng)用程序轉(zhuǎn)移到云環(huán)境的公司，使用能夠提供強(qiáng)大日志記錄功能的任何API。他說(shuō)道，“作為一個(gè)應(yīng)用程序的所有者，請(qǐng)利用好API。你可以利用這種信息為安全活動(dòng)提供幫助。”

服務(wù)協(xié)議

McRee指出，企業(yè)把應(yīng)用程序轉(zhuǎn)給云供應(yīng)商，失去了控制，所以企業(yè)需要充分了解服務(wù)協(xié)議中有哪些規(guī)定。“一定要把你想要的東西說(shuō)出來(lái)，即便是他們告訴你他們不能提供這個(gè)，”他說(shuō)，請(qǐng)注意，供應(yīng)商會(huì)根據(jù)不同的客戶(hù)去來(lái)大自己。

該CSA指南指出，應(yīng)用程序安全必須“在SLA里面闡述為一系列明確的活動(dòng)和保證。這可以包括提供供應(yīng)商采取的安全措施文檔，以及允許進(jìn)行與這些活動(dòng)有關(guān)的合理的安全測(cè)試，比如日志記錄、審計(jì)報(bào)告以及安全控制的定期驗(yàn)證等。”

惠普的Hurst表示，把傳統(tǒng)的應(yīng)用程序轉(zhuǎn)移到云環(huán)境中是改善安全狀況的一個(gè)機(jī)會(huì)。

“過(guò)去應(yīng)用程序安全不像今天這么關(guān)鍵的時(shí)候，很多應(yīng)用程序都被直接部署了，”他說(shuō)道，“現(xiàn)在有個(gè)很好的機(jī)會(huì)，我們可以重新為這些應(yīng)用程序進(jìn)行適當(dāng)?shù)耐{建模、評(píng)估等。我們非常應(yīng)該在開(kāi)始的時(shí)候就把所有的這些事情完成。” 

【編輯推薦】

1. 對(duì)云安全的擔(dān)憂只是浮云？
2. WEB應(yīng)用防火墻 打造企業(yè)應(yīng)用安全不設(shè)防
3. 極速也安全！360極速瀏覽器新版加入云安全防護(hù)
4. 2011年云安全五大趨勢(shì)解析
5. 使用SSL可以輕松解決云安全問(wèn)題？