科技行者

行者學院 轉型私董會 科技行者專題報道 網紅大戰科技行者

知識庫

知識庫 安全導航

知識庫分類索引
技術分類
廠商分類

應用安全

由于云環境其靈活性、開放性、以及公眾可用性這些特性,給應用安全的基本假設帶來了很多挑戰。這些假設中的一部分可以很好理解,而很多卻不容易理解。從設計到運維再到最終退役,云計算如何對一個應用程序的生命周期安全產生影響。所有參與者有關,包括應用程序的設計人員、安全專業人員、運維人員以及技術管理者等,如何最好地降低云計算應用程序的風險并管理其保障措施。

在所有SaaS、PaaS、IaaS的所有層面,對于應用程序來說,云計算都是一個特別的挑戰。基于云計算的應用軟件需要經過類似于DMZ區部署的應用程序那樣的嚴格設計。這包括了深入的前期分析,涵蓋了傳統的如何管理信息的機密性、完整性,以及可用性等方面。

在云環境下,應用程序將會對以下重大方面產生影響或被影響:

· 應用安全架構– 必須意識到這樣一個事實,大多數應用程序會與其它多個不同的系統產生依賴關系。有了云計算,應用程序的依賴性可能非常動態,甚至每個依賴都代表一個獨立的第三方服務提供商。云特性使配置管理和緊隨的配置供應比傳統的應用程序部署更為復雜。為了保證應用程序的安全,云環境推動了應用程序架構的變革。

· 軟件開發生命周期(SDLC) – 云計算影響SDLC的各個方面,涵蓋應用程序體系結構、設計、開發、質量保證、文檔、部署、管理、維護和退役。

· 合規性 – 合規性明顯會影響數據,而且也會影響應用程序(例如,監管要求如何實現程序中的一個特定加密函數)、平臺(對操作系統的控制和設置的命令)和進程(如對安全事件的報告要求)。

· 工具和服務– 圍繞著開發和維護運行應用程序需要的工具和服務,云計算對工具和服務帶來了一系列的新挑戰。這其中包括開發和測試工具、應用程序管理工具、對外服務的耦合、以及庫和操作系統服務的依賴性,這些可能都源自云服務提供商。了解誰提供、誰擁有、誰運行的后果、并承擔相關的責任非常重要。

· 脆弱性 – 這不僅包括很好文檔化的和不停演化中的web應用脆弱性,還有那些在機器與機器之間的、面向服務架構(SOA)的應用程序的脆弱性,這些SOA應用正在不斷地被部署進云中。

建議

• 軟件開發生命周期(SDLC)的安全很重要,應該在高層次上解決基于云開發的三個主要的差異化:1)更新的威脅和信任模型;2)更新的、云環境下的應用評估工具;3)能夠說明云應用安全體系架構變化的SDLC的過程和質量檢查點。

• IaaS、PaaS和SaaS為軟件開發生命周期創造了不同的信任邊界,這些都必須在應用的開發、測試以及生產部署過程中得到證明。

• 對于IaaS,成功的關鍵因素是是否存在可信的虛擬機鏡像(image)。最好的辦法是能夠提供符合你內部政策的虛擬機鏡像。

• 虛擬機應該使用DMZ主機系統的加固方案的最佳實踐。只開放支持應用“堆棧”所需的服務。

• 保護主機之間的通信安全是基本原則。不要做主機之間存在安全通道的假設,不管是在常用的數據中心或者在同一臺硬件設備上。

• 管理并且保護的應用的證書和密鑰至關重要。

• 應加倍小心的處理應用程序的日志和調試記錄的文件,因為這些文件的位置可能偏遠或不明,而且上面的信息可能很敏感。

• 在應用威脅模型中考慮外部管理和多租戶場景。

• 對于比較復雜的應用程序,可能會采用企業服務總線(ESB),需要使用某個協議直接保護ESB,例如WS-Security協議。在PaaS環境下不具備隔離ESB的能力。

• 應采用度量方式評估應用程序安全計劃的有效性。在直接的具體到應用的安全指標中,可用的包括漏洞分數和補丁覆蓋范圍等。這些指標會顯示應用程序代碼的質量。間接的數據處理指標,像加密數據的百分比,會從應用程序架構的角度指出是否在作出負責任的決定。

• 云服務提供商必須支持對他們云環境的應用程序進行WEB動態安全分析工具的使用。

• 應留心惡意行為者在出現一個新的云應用架構,能在監視下掩蓋某些應用組件時會如何反應。黑客喜歡攻擊能看到代碼,包括但不限于在用戶環境中運行的代碼。他們很可能會攻擊基礎設施,并進行大面積的黑盒測試。

• 客戶應該獲得合同中規定的權限來執行遠程漏洞評估,包括傳統的(網絡/主機)和應用程序漏洞評估。由于供應商的無法區分測試和實際攻擊,也為了避免對其他客戶產生潛在影響,許多云服務提供商限制漏洞評估。

相關新聞
云南时时彩福利 快递代点是怎么赚钱 中泰化学拉货赚钱吗 36选7 街机捕鱼大亨游戏机 外贸现在还赚钱吗 007体球网 太阳神牛蒡茶能赚钱吗 南京麻将怎么打才好 浙江快乐彩 未来图文店赚钱吗6 如龙0桐生一马快速赚钱 体球即时赔率 商户宝的代理赚钱吗 89彩票游戏 送现金棋牌麻将游戏 七星彩