云应用程序的安全问题和注意事项
专家表示,那些急于把内部开发的应用程序放在云上,以节省成本并提高效率的企业,需要慎重考虑云环境中应用程序的安全环境变化。
云应用程序比较突出的安全问题之一,是计算基础设施缺少控制。微软在线服务(Microsoft Online Services)部门的安全研究员兼经理Russ McRee表示,企业把原来的应用程序转移到云计算环境中,就放弃了对网络基础设施的控制,其中包括服务器、访问日志、事件响应以及补丁管理等。
“你把控制权交给了提供这种服务的人。虽然这样可以节省费用并转移管理负担,但是也把控制权限让出去了,”他说道。
网络和电子邮件安全公司Zscaler(位于加利福尼亚州森尼维尔市)副总裁Michael Sutton(他还是云安全联盟的会员,该组织旨在推广云安全的最佳实践,是一个非盈利组织)指出:“在你自己的基础设施中,你能够明白发生了什么,”, “可是在这种情况下,你不知道。这只是其他人管理的云,他们可能不愿意与你分享他们是如何配置设备的。”
CSA的创办会员Dennis Hurst(他还是惠普公司的安全专家)指出,大多数应用程序都是以企业数据中心为基础建立的,所以他们的存储方式、与其他系统进行数据传输的方式都被认为是可信的或者安全的。
“当你把应用程序转移到云的时候,你必须要考虑到该应用程序将处于一个不太友好的环境中。”他指出,“原来可信的并且在安全环境中运行的所有部件现在运行在一个不受信任的环境中。你必须考虑更多的东西:网络接口、数据存储、数据传输等。”
不同的威胁模型
根据去年夏天发布的CSA的领域10: Application Security(应用程序安全)V2.1指南,云计算基础设施的灵活性、开放性以及公众可获得性,为应用程序安全的许多基本假设造成了困难。CSA建议,对网络基础设施缺乏物理控制这方面,可以在处理敏感数据的应用程序服务器之间通信时采用加密技术,以确保其机密性。
应用程序安全公司Veracode的共同创办人和首席技术官Chris Wysopal(他还是CSA会员)表示,现在必须要重新考虑应用程序处于公司内部时公司能够接受的风险,因为应用程序转移给了云提供商。
比如,一个应用程序访问服务器上带有敏感数据的文件,但是没有加密,一个公司可能接受这种风险,因为这些硬件都是自己的。“现在我们转移到云上,那里没有本地文件系统,它会登录某些共享存储阵列,现在你需要对其进行加密。”
“威胁模型改变了,所以原来许多比较弱漏洞的威胁,现在都变得比较大了,你需要解决这些问题,” Wysopal补充道。
McRee指出,在自己的数据中心运行应用程序的公司,可以用某些特定的基础设施避开拒绝服务攻击,或者采取严厉的措施来阻止IP地址攻击。“如果你委托你的云供应商去做这些减弱攻击的工作,他们会做的如何呢?你看不见他们在做什么。你需要重新考虑如何减轻这种风险或者攻击。”
更改后的威胁模型需要在安全开发生命周期中进行验证,这是由微软提出的理念,并在全球范围内应用。“这很关键,”他说,“你还应该把所有这些原理应用于你的应用程序,理解应用程序的内部性质,数据如何流动,以及威胁模型等每一方面。重复地做这项工作直到你确定所有的标准SDL要求都得到了满足。”
工具和服务
Zscaler的Sutton指出,在云环境中,企业不能使用跟公司内部相同的安全工具和服务,比如说网络应用防火墙等。举个例子,一个公司为了给传统应用程序增加安全级别,使用了网络应用程火墙,在云中该公司不能再选择这种工具。
“在云中,你不拥有那些基础设施,也不能进行管理,所以你不能简单地走进数据中心然后把盒子放进去,”他指出。
CSA的云应程序安全指南指出,基础设施服务提供商正在提供云应用程序安全工具和服务,其中包括WAF、网络应用程序安全扫描以及源代码分析工具等。该报告指出,这些工具或者是供应商专用工具,或者是第三方专用工具。
McRee建议那些把应用程序转移到云环境的公司,使用能够提供强大日志记录功能的任何API。他说道,“作为一个应用程序的所有者,请利用好API。你可以利用这种信息为安全活动提供帮助。”
服务协议
McRee指出,企业把应用程序转给云供应商,失去了控制,所以企业需要充分了解服务协议中有哪些规定。“一定要把你想要的东西说出来,即便是他们告诉你他们不能提供这个,”他说,请注意,供应商会根据不同的客户去来大自己。
该CSA指南指出,应用程序安全必须“在SLA里面阐述为一系列明确的活动和保证。这可以包括提供供应商采取的安全措施文档,以及允许进行与这些活动有关的合理的安全测试,比如日志记录、审计报告以及安全控制的定期验证等。”
惠普的Hurst表示,把传统的应用程序转移到云环境中是改善安全状况的一个机会。
“过去应用程序安全不像今天这么关键的时候,很多应用程序都被直接部署了,”他说道,“现在有个很好的机会,我们可以重新为这些应用程序进行适当的威胁建模、评估等。我们非常应该在开始的时候就把所有的这些事情完成。”
(责任编辑:admin)- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。