雲應用安全開發最佳實踐：保護雲應用安全

雲計算很有用，因為它為IT提供了一種新方法，利用共用資源來最大限度地提高生產力和削減開支。 但新方法同時也會帶來新威脅。 我們應該如何將這種環境的風險降到最低呢?雲安全聯盟和SAFECode共同合作制定了一套應用開發的最佳實踐以滿足雲計算的獨特安全需求。 最終他們發佈了《雲應用安全開發最佳實踐》，其中列出了在雲環境中開發安全代碼的方法。 這份檔中指出：「為了讓雲計算發揮其真正的潛能，使用者和供應商都需要重新考慮安全需求和相關標準。 」參與SAFECode研究的EMC公司產品安全高級主管Eric Baize認為這些新準則是對現有安全做法(SAFECode的《安全軟體發展基礎做法》)的增編。 約70%的雲計算開發工作與其他應用程式環境相同。 剩下的30%的差異主要在於，雲計算是一個多租戶環境，其中需要信任邊界，因為在一個實體運行的軟體可以被另一個實體使用。 雲安全聯盟和SAFECode工作組花了六個月時間來審查現有開發做法，找出雲環境應用開發存在的問題。 來自成員企業的代表也分享了他們的經驗和教訓。 該工作組專注于平臺即服務模式，確定了在雲環境中需要解決的風險問題：資料洩漏事故：虛擬基礎設施受到攻擊可能會給雲環境中的其他租戶帶來威脅，SQL注入等技術可能給共用底層資料庫系統的多個應用程式帶來風險。 一個應用程式中的漏洞可能會影響所有應用程式。 資料洩漏和資料丟失：當資料保存在雲中時，系統需要設計和部署為它可以承受在多層架構中不同水準的攻擊。 對資料的更改應該是可以檢測和可以追蹤的，並且，資料應該能夠被恢復。 如果使用加密來保護資料，應該在哪一層進行加密，金鑰如何管理?不安全的介面和API：設計不當的應用程式設計介面在由協力廠商使用時，可能會產生漏洞。 拒絕服務：這可能發生在幾個層，擴大了在雲環境中的攻擊面。 該報告描述了在雲計算獨特要求的背景下的安全最佳做法，並提供了針對特定威脅的建議，開發團隊和安全團隊應該採取的具體措施等。 (鄒錚編譯)【編輯推薦】 雲安全技術應用在局域網中 中美雲安全現狀及其存在的問題 為什麼說雲安全是一個巨大的挑戰? 企業雲安全審計要求與建議 Gartner：雲安全增長強勁 差異化仍然存在【責任編輯：藍雨淚 TEL：（010）68476606】 原文：雲應用安全開發最佳實踐：保護雲應用安全 返回網路安全首頁