【51CTO.com快译】对云应用安全性进行测试说起来容易,实际执行方面却困难重重。在今天的文章中,我们将汇总相关挑战,并探讨如何加以克服。
云计算已经给IT交付服务(包括存储、计算、部署与管理)带来巨大影响,同时自动化与虚拟化技术亦在快速成熟当中。在这些成熟技术的支持之下,如今云计算只剩下最后一道实施阻碍——安全性。云安全测试作为一类相对较新的服务模式,允许IT安全人员对服务供应商进行测试,从而准确把握云环境下应用的安全性水平。因此,云应用安全性测试的目标在于保证服务供应商以安全方式利用现有云技术及解决方案。
然而此类工作中仍存在着一系列挑战。下面,我们将共同探讨此类挑战以及与之相关的解决提示。
挑战一:分布式风险
云概念意味着其能够提供一套拥有几乎无限资源的共享式资源库。在将应用部署至云环境中时,人们往往希望能够充分发挥其分布式计算能力的优势,但这亦会带来新的安全挑战。另外,这种多租户模式也有可能造成业务信息泄露等潜在风险。此类风险具体包括:
数据隔离。云概念的核心在于资源共享。云环境下的数据可能会与其他客户的数据一同存储。如果客户数据隔离逻辑配置不当,即会引发信息泄露或者曝光风险。
隐私信息泄露。攻击者可能尝试绕过安全策略窃取机密数据。加密机制虽然有效,但却并非万试万灵。为了预防数据泄露,我们需要对数据者保护与隔离(包括闲置数据与处理中数据)。另外,确保采取强大的云安全规则。
服务丢失。云服务(包括其数据)的设计目标在于随时供授权用户访问。然而如果云端未采用高可用性架构,则有可能因拒绝服务攻击等因素造成服务不可用。2011年,Amazon云服务就曾经经历过数小时宕机,导致期间客户无法正常进行访问。
恶意攻击。攻击者能够利用自己的合法云实例上传恶意软件。如果云环境未针对横向或者纵向恶意软件传播提供应对措施,那么很有可能遭遇灾难性的潜在风险。
另外值得一提的是,除了上述安全风险,所有传统应用及基础设施安全风险也同样存在于云环境中。
挑战二:按需服务
需要指出的是,按需服务在不同场景下既可能属于优势,又可能带来弊端。作为客户,我们期望云服务能够实现及时交付、便捷访问并与其它组件共同保持数据保密性。服务供应商需要提供援助与整合工具。另外,供应商亦应保障合规性要求,并允许客户执行必要测试。另一方面,客户方面应该有选择地公开测试数据与服务信息,并向供应商传达自己的安全策略与要求。
挑战三:缺少标准
目前尚不存在得到广泛认可的云安全测试方法,具体途径仍取决于客户需求与供应商能力。部分服务供应商专注于云服务的某些方面,并在测试中忽略一些他们认为并不重要的因素。事实上,对于云安全性进行测试的相关方案及技术多种多样,因此我们应当尽可能将其纳入云体系,并了解其给服务质量及计费方式造成的影响。
尽可能降低影响
需要关注的安全性因素包括保密性、完整性以及可用性等等,这一切都应当作为安全系统设计工作中的必要目标。云应用需要以具备成本效益的方式提供安全性与数据隐私机制。另外,大家应当意识到云安全并非局限于应用程序组件,其亦涉及到网络与数据级安全性,包括对备份及灾难恢复方面的考量。
IT安全测试服务商与客户能够从现有云应用威胁模式当中汲取经验。了解云计算部署与服务模式之间的依赖性与关联对于评估云安全风险及控制能力非常重要。
另外,我们应当建立并加强能够识别及实现安全控制能力的安全策略,遵循行业最佳实践以解决云安全威胁及需求。再有,将外部审计要求及安全认证机制纳入当前安全策略,这一点对于云技术演进亦非常重要。
保持不同组件间的互操作性能够有效降低手动测试工作量、减少成本并节约时间。另外,请注意云组件的自身局限以及标准化集成能力,这些都是决定云环境下自动化测试技术适用性的重要因素。
总结
云安全性测试利用云计算资源执行按需测试操作。尽管云端的测试工作仍然面临众多挑战,但这些障碍并非不可克服。最重要的是,我们应当向服务商提出要求,从而确保应用程序、服务以及数据在云环境下的安全性。
原文标题:Cloud-Based Application Security Testing Challenges and Tips,作者:Nikos Vassakis
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】