云應(yīng)用安全測(cè)試還相當(dāng)新且復(fù)雜，因?yàn)樾枰�確保安全的交叉點(diǎn)和傳輸點(diǎn)在不斷增加。測(cè)試體制還增加了若干顯著差異以確保云基礎(chǔ)設(shè)施系統(tǒng)的安全。

通常而言，云應(yīng)用的安全測(cè)試技術(shù)與Web應(yīng)用測(cè)試類似。向Web應(yīng)用安全一樣，組織必須確保機(jī)密或隱私數(shù)據(jù)保持安全，不僅在云系統(tǒng)如此，在應(yīng)用和任何連接系統(tǒng)上都應(yīng)如此。云應(yīng)用安全測(cè)試還相當(dāng)新且復(fù)雜，因?yàn)樾枰�確保安全的交叉點(diǎn)和傳輸點(diǎn)在不斷增加。測(cè)試體制還增加了若干顯著差異以確保云基礎(chǔ)設(shè)施系統(tǒng)的安全。首先要記住的是的組織云系統(tǒng)的結(jié)構(gòu)。測(cè)試必須在內(nèi)部云中完成，以及與其他云的連接點(diǎn)，包括內(nèi)部和外部的。測(cè)試還必須要跨越云進(jìn)行以確保數(shù)據(jù)安全和完整性，并將測(cè)試安全納入應(yīng)用之內(nèi)。

在開始云測(cè)試努力之前，記住該基礎(chǔ)設(shè)施是由另一個(gè)組織擁有和管理的，所以測(cè)試者不會(huì)擁有在內(nèi)部管理系統(tǒng)中一樣的訪問。安全測(cè)試涉及到測(cè)試攻擊工具、網(wǎng)絡(luò)、配置設(shè)置以及導(dǎo)致不利系統(tǒng)響應(yīng)的其他數(shù)據(jù)等。必須告知云供應(yīng)商測(cè)試情況以便準(zhǔn)備好對(duì)測(cè)試的支持并履行任何的合同義務(wù)。

要想進(jìn)行有效的云應(yīng)用安全測(cè)試，需要在云基礎(chǔ)設(shè)施內(nèi)部、外部、跨云基礎(chǔ)設(shè)施以及云應(yīng)用本身建立安全相關(guān)的測(cè)試，以確保應(yīng)用使用的業(yè)務(wù)數(shù)據(jù)和云系統(tǒng)是安全的。

內(nèi)外部測(cè)試

內(nèi)外部測(cè)試意味著把整個(gè)云基礎(chǔ)設(shè)施當(dāng)作一個(gè)系統(tǒng)來進(jìn)行測(cè)試。其范圍依賴于組織和應(yīng)用的設(shè)置。云系統(tǒng)可以是單個(gè)的，也可以是內(nèi)部的，或者也可以是多系統(tǒng)的，既有內(nèi)部也有外部的。測(cè)試的一項(xiàng)重要考慮是識(shí)別云系統(tǒng)的結(jié)構(gòu)以及受測(cè)試應(yīng)用在系統(tǒng)內(nèi)是如何運(yùn)作的。測(cè)試者需要知道所有的連接點(diǎn)，包括數(shù)據(jù)連接和傳輸?shù)募?xì)節(jié)，或者用來傳遞信息給應(yīng)用的數(shù)據(jù)消息服務(wù)。

從測(cè)試每一個(gè)云的內(nèi)部功能開始，然后為所有的連接點(diǎn)或額外的云建立測(cè)試。注意，知道云的性質(zhì)以及云是內(nèi)部的、外部的還是混合的很重要。測(cè)試需要被修改為在內(nèi)部云完全測(cè)試數(shù)據(jù)的安全，并測(cè)試該數(shù)據(jù)是可以被外部訪問還是通過消息系統(tǒng)訪問。

測(cè)試云端應(yīng)用包括類似用于Web應(yīng)用測(cè)試的滲透和數(shù)據(jù)測(cè)試技術(shù)。不同的是系統(tǒng)結(jié)構(gòu)和基礎(chǔ)設(shè)施有云供應(yīng)商而不是內(nèi)部組織管理時(shí)測(cè)試者獲得訪問的數(shù)量。其主要目標(biāo)使驗(yàn)證數(shù)據(jù)和應(yīng)用在內(nèi)部使安全的，并測(cè)試所有的連接點(diǎn)，因?yàn)槊恳粋�(gè)連接都有可能是未經(jīng)許可的入口或訪問。

跨系統(tǒng)測(cè)試

跨云系統(tǒng)測(cè)試類似于從“外部”測(cè)試，但也有不同�？缭葡到y(tǒng)測(cè)試意味著測(cè)試公有、私有或混合云應(yīng)用。大多數(shù)云應(yīng)用的目的都是在應(yīng)用以及因此也在云系統(tǒng)之間共享數(shù)據(jù)。再次地，在知道云系統(tǒng)的總體結(jié)構(gòu)、云應(yīng)用與該系統(tǒng)的交互方式以及共享信息或數(shù)據(jù)方式時(shí)測(cè)試最有效。

安全測(cè)試跨云和應(yīng)用進(jìn)行時(shí)，主要的關(guān)注點(diǎn)是確定數(shù)據(jù)是否被不恰當(dāng)?shù)卦L問或共享。作為測(cè)試者，我希望看看是否可以通過操縱云系統(tǒng)配置及訪問或角色安全，或者通過攔截消息或消息隊(duì)列獲得非授權(quán)的數(shù)據(jù)訪問。把注意力集中到發(fā)現(xiàn)以及測(cè)試任何可以被操縱為允許訪問進(jìn)入云系統(tǒng)的集成或連接點(diǎn)上。除了復(fù)雜的路徑以外，也要測(cè)試那些看似更簡(jiǎn)單或明顯的地方，以便驗(yàn)證黑客無法獲得對(duì)機(jī)密數(shù)據(jù)的訪問。

Web應(yīng)用測(cè)試與云應(yīng)用測(cè)試的另一個(gè)需要記住的重要差別是，Web應(yīng)用有邊界，而云應(yīng)用沒有。因?yàn)橛锌赡苁菬o邊界的，所以測(cè)試者需要深入全面調(diào)查任何連接點(diǎn)或安全邊界情況。包括測(cè)試網(wǎng)絡(luò)訪問、邏輯錯(cuò)誤以及架構(gòu)性安全問題。安全測(cè)試云應(yīng)用迫使測(cè)試者跳出盒子去測(cè)試，因?yàn)樵苹�礎(chǔ)設(shè)施在設(shè)計(jì)上就是開放的。

測(cè)試挑戰(zhàn)

除非組織測(cè)試團(tuán)隊(duì)獲得訪問授權(quán)，云應(yīng)用安全測(cè)試的一個(gè)重大挑戰(zhàn)是缺乏對(duì)日志的訪問。記住，組織并不擁有系統(tǒng)，因此在云環(huán)境下訪問服務(wù)器日志及其他類型的文件是不行的。測(cè)試者必須可以通過觀察擁有響應(yīng)、數(shù)據(jù)本身，以及性能或時(shí)間問題等在應(yīng)用內(nèi)可見的東西來確定問題是否存在。比方說，在應(yīng)用內(nèi)，聚焦于驗(yàn)證某窗口的輸入，然后在另一個(gè)額外應(yīng)用窗口內(nèi)驗(yàn)證數(shù)據(jù)。熟悉應(yīng)用數(shù)據(jù)流、合法數(shù)據(jù)定義以及應(yīng)用與特定云之間的工作流那是必須的—換句話說，你得知道哪一個(gè)數(shù)據(jù)可以訪問以及合法與非法數(shù)據(jù)顯示的規(guī)則是什么。

基于云應(yīng)用基礎(chǔ)設(shè)施的性質(zhì)，徹底測(cè)試是必不可少的，而且大部分的測(cè)試應(yīng)該基于應(yīng)用行為或響應(yīng)來進(jìn)行。要徹底規(guī)劃好測(cè)試時(shí)間。沒有經(jīng)由應(yīng)用或云連接點(diǎn)獲得的非授權(quán)的數(shù)據(jù)訪問對(duì)于一個(gè)組織的商業(yè)成功來說是必不可少的。

記住做好預(yù)先規(guī)劃并聯(lián)系云供應(yīng)商，安排好測(cè)試時(shí)間并告知供應(yīng)商計(jì)劃進(jìn)行的安全測(cè)試類型。比方說，由于測(cè)試認(rèn)證的原因，系統(tǒng)未被鎖住是至關(guān)重要的。對(duì)一個(gè)不是內(nèi)部擁有或管理的系統(tǒng)進(jìn)行測(cè)試必須提前做好溝通和計(jì)劃。

標(biāo)簽： [db:TAGG]

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。