雲安全問題與預防措施盤點

雲安全所面對的問題

第一，是虛擬化環境下的技術及管理問題。

傳統的基於物理安全邊界的防護機制難以有效保護基於共享虛擬化環境下的使用者應用及資訊保安。另外就是，雲計算的系統如此之大，而且主要是通過虛擬機器進行計算，一旦出現故障，如何快速定位問題所在也是乙個重大挑戰。

第二，是雲計算的服務模式將資源的所有權、管理權及使用權分離的問題。

雲計算這種全新的服務模式將資源的所有權、管理權及使用權進行了分離，因此使用者失去了對物理資源的直接控制，會面臨與雲服務商協作的一些安全問題（主要是信任問題），如使用者是否會面臨雲服務退出障礙，不完整和不安全的資料刪除會對使用者造成損害，此外，如何界定使用者與服務提供商的不同責任也是很大乙個問題。

第三，雲計算平台導致的安全問題。

雲計算平台聚集了大量使用者應用和資料資源，更容易吸引黑客攻擊，而故障一旦發生，其影響範圍更多，後果更加嚴重。此外，其開放性對介面的安全也提出了一些要求。另外，雲計算平台上整合了多個租戶，多租戶之間的資訊資源如何進行安全隔離、服務專業化引發的多層轉包引發的安全問題等。

如何解決雲安全問題

一、建立安全措施

應用程式安全性的根本挑戰遠在雲實施前就已經存在。因此，對於如何完善生產安全、魯棒的應用程式的部署措施已有相當的研究。有乙個可提供直接支援的技術被稱為應用程式威脅建模。一些很好的著力點是owasp威脅建模頁以及微軟公司的安全性開發生命週期資源頁。從工具的角度來看，是免費跨**指令碼(xss)和sql注入。擁有內部工具的企業可以將其應用於雲的安全性措施，或者眾多雲**商為客戶以免費或打折的**提供了具有類似功能的工具。而當企業希望使用乙個更為廣泛的掃瞄策略時，他們還可以使用諸如google公司的skipfish這樣的免費工具。

二、掃瞄網路應用程式

眾多公司已經接受了應用程式掃瞄，這是乙個用於解決通用安全問題(例如跨平台指令碼(xss)和sql匯入)的網路應用程式掃瞄工具。擁有內部工具的企業可以將其應用於雲安全性措施，或者眾多雲**商為客戶以免費或打折的**提供了類似功能的工具。而當企業希望使用乙個更為廣泛的掃瞄策略時，他們還可以使用諸如google公司的skipfish這樣的免費工具。

三、培訓開發人員

應用程式開發人員完全通盤精通應用程式安全性原則是非常關鍵的。這可以包括語言級培訓(即他們目前用於構建應用程式所使用語言中的安全編碼原則)以及更廣泛的議題，如安全性設計原則等。由於開發人員的減員和流動性等原因，這往往要求培訓必須定期重複並作為常態保持下去，所以開發人員應用程式的安全性培訓成本可能是較為昂貴的。幸運的是，還有一些免費的資源，例如texasa&m/fema國內防備校園計畫提供了一些安全性軟體開發的免費電子學習資料。微軟公司也通過其clinic2806提供了免費培訓：微軟開發人員安全性知道培訓，這是乙個開始你自己定製程式有用的入門級培訓材料。

四、擁有專用的測試資料

這樣的情況總是在不斷發生中的：開發人員使用生產資料進行測試。這是乙個需要正確認識的問題，因為機密資料(例如客戶私人可辨識的資料)可能在測試過程中洩漏，特別是在開發或試執行環境中並沒有執行與生產環境相同的安全措施時。雲的環境敏感性更甚，而眾多雲服務更易於實現部署、試執行以及生產之間的資料庫共享以簡化部署。如開源databenebenerator之類的工具可以產生符合你資料庫特定結構的高容量資料，而資料格式調整有助於擁有專用的生產資料。通常，這些處理是屬於特定框架的，因此你需要留意找出乙個能夠在你的特定環境中正常工作的。

五、重新調整優先順序

這最後乙個步驟是你可以實施的最重要的乙個步驟。既然雲可能意味著一種文化和優先順序的調整，那麼相應地接受這一調整並將其真正納入自己的思想行為體系中。使用雲，所有都是與應用程式相關;這意味著組織的安全性將高度依賴於組織中的開發團隊。如果這不是雲的問題，那麼這將會是一場噩夢了，因為在基礎設施級你無法實施多少措施以緩解已識別的風險。如果你一直以來都是依賴於基礎設施級的控制以滿足在應用程式級的安全挑戰，現在是時候重新考慮

雲安全問題與預防措施盤點

前端安全問題防範措施

Cookie安全問題與防範

安全問題（XSS與CSRF）

雲安全問題與預防措施盤點

前端安全問題防範措施

Cookie安全問題與防範

安全問題（XSS與CSRF）

相關推薦