云應用安全性測試工作中的挑戰與解決提示
譯文【51CTO.com快譯】對云應用安全性進行測試說起來容易,實際執行方面卻困難重重。在今天的文章中,我們將匯總相關挑戰,并探討如何加以克服。
云計算已經給IT交付服務(包括存儲、計算、部署與管理)帶來巨大影響,同時自動化與虛擬化技術亦在快速成熟當中。在這些成熟技術的支持之下,如今云計算只剩下最后一道實施阻礙——安全性。云安全測試作為一類相對較新的服務模式,允許IT安全人員對服務供應商進行測試,從而準確把握云環境下應用的安全性水平。因此,云應用安全性測試的目標在于保證服務供應商以安全方式利用現有云技術及解決方案。
然而此類工作中仍存在著一系列挑戰。下面,我們將共同探討此類挑戰以及與之相關的解決提示。
挑戰一:分布式風險
云概念意味著其能夠提供一套擁有幾乎無限資源的共享式資源庫。在將應用部署至云環境中時,人們往往希望能夠充分發揮其分布式計算能力的優勢,但這亦會帶來新的安全挑戰。另外,這種多租戶模式也有可能造成業務信息泄露等潛在風險。此類風險具體包括:
數據隔離。云概念的核心在于資源共享。云環境下的數據可能會與其他客戶的數據一同存儲。如果客戶數據隔離邏輯配置不當,即會引發信息泄露或者曝光風險。
隱私信息泄露。攻擊者可能嘗試繞過安全策略竊取機密數據。加密機制雖然有效,但卻并非萬試萬靈。為了預防數據泄露,我們需要對數據者保護與隔離(包括閑置數據與處理中數據)。另外,確保采取強大的云安全規則。
服務丟失。云服務(包括其數據)的設計目標在于隨時供授權用戶訪問。然而如果云端未采用高可用性架構,則有可能因拒絕服務攻擊等因素造成服務不可用。2011年,Amazon云服務就曾經經歷過數小時宕機,導致期間客戶無法正常進行訪問。
惡意攻擊。攻擊者能夠利用自己的合法云實例上傳惡意軟件。如果云環境未針對橫向或者縱向惡意軟件傳播提供應對措施,那么很有可能遭遇災難性的潛在風險。
另外值得一提的是,除了上述安全風險,所有傳統應用及基礎設施安全風險也同樣存在于云環境中。
挑戰二:按需服務
需要指出的是,按需服務在不同場景下既可能屬于優勢,又可能帶來弊端。作為客戶,我們期望云服務能夠實現及時交付、便捷訪問并與其它組件共同保持數據保密性。服務供應商需要提供援助與整合工具。另外,供應商亦應保障合規性要求,并允許客戶執行必要測試。另一方面,客戶方面應該有選擇地公開測試數據與服務信息,并向供應商傳達自己的安全策略與要求。
挑戰三:缺少標準
目前尚不存在得到廣泛認可的云安全測試方法,具體途徑仍取決于客戶需求與供應商能力。部分服務供應商專注于云服務的某些方面,并在測試中忽略一些他們認為并不重要的因素。事實上,對于云安全性進行測試的相關方案及技術多種多樣,因此我們應當盡可能將其納入云體系,并了解其給服務質量及計費方式造成的影響。
盡可能降低影響
需要關注的安全性因素包括保密性、完整性以及可用性等等,這一切都應當作為安全系統設計工作中的必要目標。云應用需要以具備成本效益的方式提供安全性與數據隱私機制。另外,大家應當意識到云安全并非局限于應用程序組件,其亦涉及到網絡與數據級安全性,包括對備份及災難恢復方面的考量。
IT安全測試服務商與客戶能夠從現有云應用威脅模式當中汲取經驗。了解云計算部署與服務模式之間的依賴性與關聯對于評估云安全風險及控制能力非常重要。
另外,我們應當建立并加強能夠識別及實現安全控制能力的安全策略,遵循行業最佳實踐以解決云安全威脅及需求。再有,將外部審計要求及安全認證機制納入當前安全策略,這一點對于云技術演進亦非常重要。
保持不同組件間的互操作性能夠有效降低手動測試工作量、減少成本并節約時間。另外,請注意云組件的自身局限以及標準化集成能力,這些都是決定云環境下自動化測試技術適用性的重要因素。
總結
云安全性測試利用云計算資源執行按需測試操作。盡管云端的測試工作仍然面臨眾多挑戰,但這些障礙并非不可克服。最重要的是,我們應當向服務商提出要求,從而確保應用程序、服務以及數據在云環境下的安全性。
原文標題:Cloud-Based Application Security Testing Challenges and Tips,作者:Nikos Vassakis
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
