對云應(yīng)用安全性進行測試說起來容易,實際執(zhí)行方面卻困難重重��。在今天的文章中�����,我們將匯總相關(guān)挑戰(zhàn)�����,并探討如何加以克服����。
創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),索縣企業(yè)網(wǎng)站建設(shè),索縣品牌網(wǎng)站建設(shè),網(wǎng)站定制,索縣網(wǎng)站建設(shè)報價,網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,索縣網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)�����,幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力�。可充分滿足這一群體相比中小企業(yè)更為豐富��、高端����、多元的互聯(lián)網(wǎng)需求�。同時我們時刻保持專業(yè)��、時尚�、前沿,時刻以成就客戶成長自我����,堅持不斷學習、思考�、沉淀、凈化自己�,讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站����。
云計算已經(jīng)給IT交付服務(wù)(包括存儲、計算��、部署與管理)帶來巨大影響���,同時自動化與虛擬化技術(shù)亦在快速成熟當中����。在這些成熟技術(shù)的支持之下,如今云計算只剩下最后一道實施阻礙——安全性���。云安全測試作為一類相對較新的服務(wù)模式���,允許IT安全人員對服務(wù)供應(yīng)商進行測試��,從而準確把握云環(huán)境下應(yīng)用的安全性水平���。因此,云應(yīng)用安全性測試的目標在于保證服務(wù)供應(yīng)商以安全方式利用現(xiàn)有云技術(shù)及解決方案���。
然而此類工作中仍存在著一系列挑戰(zhàn)�。下面,我們將共同探討此類挑戰(zhàn)以及與之相關(guān)的解決提示��。
挑戰(zhàn)一:分布式風險
云概念意味著其能夠提供一套擁有幾乎無限資源的共享式資源庫�����。在將應(yīng)用部署至云環(huán)境中時,人們往往希望能夠充分發(fā)揮其分布式計算能力的優(yōu)勢�����,但這亦會帶來新的安全挑戰(zhàn)��。另外�,這種多租戶模式也有可能造成業(yè)務(wù)信息泄露等潛在風險。此類風險具體包括:
數(shù)據(jù)隔離���。云概念的核心在于資源共享���。云環(huán)境下的數(shù)據(jù)可能會與其他客戶的數(shù)據(jù)一同存儲����。如果客戶數(shù)據(jù)隔離邏輯配置不當���,即會引發(fā)信息泄露或者曝光風險�����。
隱私信息泄露�����。攻擊者可能嘗試繞過安全策略竊取機密數(shù)據(jù)����。加密機制雖然有效����,但卻并非萬試萬靈����。為了預防數(shù)據(jù)泄露,我們需要對數(shù)據(jù)者保護與隔離(包括閑置數(shù)據(jù)與處理中數(shù)據(jù))�����。另外���,確保采取強大的云安全規(guī)則。
服務(wù)丟失。云服務(wù)(包括其數(shù)據(jù))的設(shè)計目標在于隨時供授權(quán)用戶訪問���。然而如果云端未采用高可用性架構(gòu),則有可能因拒絕服務(wù)攻擊等因素造成服務(wù)不可用�����。2011年����,Amazon云服務(wù)就曾經(jīng)經(jīng)歷過數(shù)小時宕機,導致期間客戶無法正常進行訪問�����。
惡意攻擊�����。攻擊者能夠利用自己的合法云實例上傳惡意軟件���。如果云環(huán)境未針對橫向或者縱向惡意軟件傳播提供應(yīng)對措施��,那么很有可能遭遇災難性的潛在風險。
另外值得一提的是��,除了上述安全風險���,所有傳統(tǒng)應(yīng)用及基礎(chǔ)設(shè)施安全風險也同樣存在于云環(huán)境中。
挑戰(zhàn)二:按需服務(wù)
需要指出的是�����,按需服務(wù)在不同場景下既可能屬于優(yōu)勢��,又可能帶來弊端���。作為客戶�����,我們期望云服務(wù)能夠?qū)崿F(xiàn)及時交付�、便捷訪問并與其它組件共同保持數(shù)據(jù)保密性����。服務(wù)供應(yīng)商需要提供援助與整合工具。另外���,供應(yīng)商亦應(yīng)保障合規(guī)性要求,并允許客戶執(zhí)行必要測試。另一方面����,客戶方面應(yīng)該有選擇地公開測試數(shù)據(jù)與服務(wù)信息�����,并向供應(yīng)商傳達自己的安全策略與要求��。
挑戰(zhàn)三:缺少標準
目前尚不存在得到廣泛認可的云安全測試方法,具體途徑仍取決于客戶需求與供應(yīng)商能力���。部分服務(wù)供應(yīng)商專注于云服務(wù)的某些方面�,并在測試中忽略一些他們認為并不重要的因素。事實上�����,對于云安全性進行測試的相關(guān)方案及技術(shù)多種多樣,因此我們應(yīng)當盡可能將其納入云體系���,并了解其給服務(wù)質(zhì)量及計費方式造成的影響��。
盡可能降低影響
需要關(guān)注的安全性因素包括保密性����、完整性以及可用性等等,這一切都應(yīng)當作為安全系統(tǒng)設(shè)計工作中的必要目標���。云應(yīng)用需要以具備成本效益的方式提供安全性與數(shù)據(jù)隱私機制��。另外����,大家應(yīng)當意識到云安全并非局限于應(yīng)用程序組件�����,其亦涉及到網(wǎng)絡(luò)與數(shù)據(jù)級安全性����,包括對備份及災難恢復方面的考量��。
IT安全測試服務(wù)商與客戶能夠從現(xiàn)有云應(yīng)用威脅模式當中汲取經(jīng)驗���。了解云計算部署與服務(wù)模式之間的依賴性與關(guān)聯(lián)對于評估云安全風險及控制能力非常重要���。
另外�,我們應(yīng)當建立并加強能夠識別及實現(xiàn)安全控制能力的安全策略�,遵循行業(yè)最佳實踐以解決云安全威脅及需求。再有,將外部審計要求及安全認證機制納入當前安全策略�����,這一點對于云技術(shù)演進亦非常重要�����。
保持不同組件間的互操作性能夠有效降低手動測試工作量����、減少成本并節(jié)約時間����。另外���,請注意云組件的自身局限以及標準化集成能力��,這些都是決定云環(huán)境下自動化測試技術(shù)適用性的重要因素�。
總結(jié)
云安全性測試利用云計算資源執(zhí)行按需測試操作����。盡管云端的測試工作仍然面臨眾多挑戰(zhàn)�,但這些障礙并非不可克服���。最重要的是��,我們應(yīng)當向服務(wù)商提出要求,從而確保應(yīng)用程序��、服務(wù)以及數(shù)據(jù)在云環(huán)境下的安全性�����。
本文名稱:云應(yīng)用安全性測試工作中的挑戰(zhàn)與解決提示
本文路徑:
http://uogjgqi.cn/article/cdhjdpe.html
