云應(yīng)用程序的安全問題和注意事項
發(fā)布日期:2016-06-29 15:41瀏覽次數(shù):
專家表示�����,那些急于把內(nèi)部開發(fā)的應(yīng)用程序放在云上��,以節(jié)省成本并提高效率的企業(yè)����,需要慎重考慮云環(huán)境中應(yīng)用程序的安全環(huán)境變化�。
云應(yīng)用程序比較突出的安全問題之一,是計算基礎(chǔ)設(shè)施缺少控制��。微軟在線服務(wù)(Microsoft Online Services)部門的安全研究員兼經(jīng)理Russ McRee表示����,企業(yè)把原來的應(yīng)用程序轉(zhuǎn)移到云計算環(huán)境中,就放棄了對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的控制����,其中包括服務(wù)器��、訪問日志����、事件響應(yīng)以及補(bǔ)丁管理等�����。
“你把控制權(quán)交給了提供這種服務(wù)的人�����。雖然這樣可以節(jié)省費用并轉(zhuǎn)移管理負(fù)擔(dān)���,但是也把控制權(quán)限讓出去了����,”他說道����。
網(wǎng)絡(luò)和電子郵件安全公司Zscaler(位于加利福尼亞州森尼維爾市)副總裁Michael Sutton(他還是云安全聯(lián)盟的會員,該組織旨在推廣云安全的最佳實踐,是一個非盈利組織)指出:“在你自己的基礎(chǔ)設(shè)施中���,你能夠明白發(fā)生了什么����,”�����, “可是在這種情況下���,你不知道�����。這只是其他人管理的云,他們可能不愿意與你分享他們是如何配置設(shè)備的���。”
CSA的創(chuàng)辦會員Dennis Hurst(他還是惠普公司的安全專家)指出���,大多數(shù)應(yīng)用程序都是以企業(yè)數(shù)據(jù)中心為基礎(chǔ)建立的,所以他們的存儲方式�����、與其他系統(tǒng)進(jìn)行數(shù)據(jù)傳輸?shù)姆绞蕉急徽J(rèn)為是可信的或者安全的。
“當(dāng)你把應(yīng)用程序轉(zhuǎn)移到云的時候�,你必須要考慮到該應(yīng)用程序?qū)⑻幱谝粋€不太友好的環(huán)境中。”他指出��,“原來可信的并且在安全環(huán)境中運行的所有部件現(xiàn)在運行在一個不受信任的環(huán)境中�。你必須考慮更多的東西:網(wǎng)絡(luò)接口、數(shù)據(jù)存儲��、數(shù)據(jù)傳輸?shù)取?rdquo;
不同的威脅模型
根據(jù)去年夏天發(fā)布的CSA的領(lǐng)域10: Application Security(應(yīng)用程序安全)V2.1指南���,云計算基礎(chǔ)設(shè)施的靈活性����、開放性以及公眾可獲得性�����,為應(yīng)用程序安全的許多基本假設(shè)造成了困難����。CSA建議,對網(wǎng)絡(luò)基礎(chǔ)設(shè)施缺乏物理控制這方面�,可以在處理敏感數(shù)據(jù)的應(yīng)用程序服務(wù)器之間通信時采用加密技術(shù),以確保其機(jī)密性。
應(yīng)用程序安全公司Veracode的共同創(chuàng)辦人和首席技術(shù)官Chris Wysopal(他還是CSA會員)表示���,現(xiàn)在必須要重新考慮應(yīng)用程序處于公司內(nèi)部時公司能夠接受的風(fēng)險���,因為應(yīng)用程序轉(zhuǎn)移給了云提供商。
比如�,一個應(yīng)用程序訪問服務(wù)器上帶有敏感數(shù)據(jù)的文件,但是沒有加密���,一個公司可能接受這種風(fēng)險�����,因為這些硬件都是自己的�。“現(xiàn)在我們轉(zhuǎn)移到云上�����,那里沒有本地文件系統(tǒng)���,它會登錄某些共享存儲陣列,現(xiàn)在你需要對其進(jìn)行加密��。”
“威脅模型改變了,所以原來許多比較弱漏洞的威脅����,現(xiàn)在都變得比較大了,你需要解決這些問題�����,” Wysopal補(bǔ)充道����。
McRee指出,在自己的數(shù)據(jù)中心運行應(yīng)用程序的公司�����,可以用某些特定的基礎(chǔ)設(shè)施避開拒絕服務(wù)攻擊���,或者采取嚴(yán)厲的措施來阻止IP地址攻擊���。“如果你委托你的云供應(yīng)商去做這些減弱攻擊的工作,他們會做的如何呢?你看不見他們在做什么�����。你需要重新考慮如何減輕這種風(fēng)險或者攻擊。”
更改后的威脅模型需要在安全開發(fā)生命周期中進(jìn)行驗證�,這是由微軟提出的理念,并在全球范圍內(nèi)應(yīng)用���。“這很關(guān)鍵���,”他說,“你還應(yīng)該把所有這些原理應(yīng)用于你的應(yīng)用程序���,理解應(yīng)用程序的內(nèi)部性質(zhì)��,數(shù)據(jù)如何流動����,以及威脅模型等每一方面�����。重復(fù)地做這項工作直到你確定所有的標(biāo)準(zhǔn)SDL要求都得到了滿足��。”
工具和服務(wù)
Zscaler的Sutton指出���,在云環(huán)境中��,企業(yè)不能使用跟公司內(nèi)部相同的安全工具和服務(wù)����,比如說網(wǎng)絡(luò)應(yīng)用防火墻等����。舉個例子,一個公司為了給傳統(tǒng)應(yīng)用程序增加安全級別�����,使用了網(wǎng)絡(luò)應(yīng)用程火墻��,在云中該公司不能再選擇這種工具���。
“在云中��,你不擁有那些基礎(chǔ)設(shè)施�,也不能進(jìn)行管理��,所以你不能簡單地走進(jìn)數(shù)據(jù)中心然后把盒子放進(jìn)去��,”他指出�����。
CSA的云應(yīng)程序安全指南指出,基礎(chǔ)設(shè)施服務(wù)提供商正在提供云應(yīng)用程序安全工具和服務(wù)�����,其中包括WAF�����、網(wǎng)絡(luò)應(yīng)用程序安全掃描以及源代碼分析工具等�。該報告指出,這些工具或者是供應(yīng)商專用工具�,或者是第三方專用工具。
McRee建議那些把應(yīng)用程序轉(zhuǎn)移到云環(huán)境的公司���,使用能夠提供強(qiáng)大日志記錄功能的任何API���。他說道,“作為一個應(yīng)用程序的所有者��,請利用好API��。你可以利用這種信息為安全活動提供幫助��。”
服務(wù)協(xié)議
McRee指出,企業(yè)把應(yīng)用程序轉(zhuǎn)給云供應(yīng)商����,失去了控制����,所以企業(yè)需要充分了解服務(wù)協(xié)議中有哪些規(guī)定。“一定要把你想要的東西說出來��,即便是他們告訴你他們不能提供這個�����,”他說����,請注意,供應(yīng)商會根據(jù)不同的客戶去來大自己����。
該CSA指南指出,應(yīng)用程序安全必須“在SLA里面闡述為一系列明確的活動和保證�。這可以包括提供供應(yīng)商采取的安全措施文檔,以及允許進(jìn)行與這些活動有關(guān)的合理的安全測試��,比如日志記錄、審計報告以及安全控制的定期驗證等��。”
惠普的Hurst表示��,把傳統(tǒng)的應(yīng)用程序轉(zhuǎn)移到云環(huán)境中是改善安全狀況的一個機(jī)會��。
“過去應(yīng)用程序安全不像今天這么關(guān)鍵的時候���,很多應(yīng)用程序都被直接部署了�,”他說道���,“現(xiàn)在有個很好的機(jī)會�,我們可以重新為這些應(yīng)用程序進(jìn)行適當(dāng)?shù)耐{建模�����、評估等��。我們非常應(yīng)該在開始的時候就把所有的這些事情完成�。”
