云安全测试仍面临众多挑战,但并非难以克服
云计算已经给IT交付服务(包括存储、计算、部署与管理)带来巨大影响,同时自动化与虚拟化技术亦在快速成熟当中。在这些成熟技术的支持之下,如今云计算只剩下最后一道实施阻碍——安全性。云安全测试作为一类相对较新的服务模式,允许IT安全人员对服务供应商进行测试,从而准确把握云环境下应用的安全性水平。因此,云应用安全性测试的目标在于保证服务供应商以安全方式利用现有云技术及解决方案。
对云应用安全性进行测试说起来容易,实际执行方面却困难重重。在今天的文章中,我们将汇总相关挑战,并探讨如何加以克服。
挑战一:分布式风险
云概念意味着其能够提供一套拥有几乎无限资源的共享式资源库。在将应用部署至云环境中时,人们往往希望能够充分发挥其分布式计算能力的优势,但这亦会带来新的安全挑战。另外,这种多租户模式也有可能造成业务信息泄露等潜在风险。此类风险具体包括:
挑战二:按需服务
需要指出的是,按需服务在不同场景下既可能属于优势,又可能带来弊端。作为客户,我们期望云服务能够实现及时交付、便捷访问并与其它组件共同保持数据保密性。服务供应商需要提供援助与整合工具。另外,供应商亦应保障合规性要求,并允许客户执行必要测试。另一方面,客户方面应该有选择地公开测试数据与服务信息,并向供应商传达自己的安全策略与要求。
挑战三:缺少标准
目前尚不存在得到广泛认可的云安全测试方法,具体途径仍取决于客户需求与供应商能力。部分服务供应商专注于云服务的某些方面,并在测试中忽略一些他们认为并不重要的因素。事实上,对于云安全性进行测试的相关方案及技术多种多样,因此我们应当尽可能将其纳入云体系,并了解其给服务质量及计费方式造成的影响。
尽可能降低影响
需要关注的安全性因素包括保密性、完整性以及可用性等等,这一切都应当作为安全系统设计工作中的必要目标。云应用需要以具备成本效益的方式提供安全性与数据隐私机制。另外,大家应当意识到云安全并非局限于应用程序组件,其亦涉及到网络与数据级安全性,包括对备份及灾难恢复方面的考量。
IT安全测试服务商与客户能够从现有云应用威胁模式当中汲取经验。了解云计算部署与服务模式之间的依赖性与关联对于评估云安全风险及控制能力非常重要。
另外,我们应当建立并加强能够识别及实现安全控制能力的安全策略,遵循行业最佳实践以解决云安全威胁及需求。再有,将外部审计要求及安全认证机制纳入当前安全策略,这一点对于云技术演进亦非常重要。
保持不同组件间的互操作性能够有效降低手动测试工作量、减少成本并节约时间。另外,请注意云组件的自身局限以及标准化集成能力,这些都是决定云环境下自动化测试技术适用性的重要因素。
总结
云安全性测试利用云计算资源执行按需测试操作。尽管云端的测试工作仍然面临众多挑战,但这些障碍并非不可克服。最重要的是,我们应当向服务商提出要求,从而确保应用程序、服务以及数据在云环境下的安全性。