雲端上的應用程式安全


* 你在乎網路的隱私權嗎?

*
你的資料還在裸奔嗎?

* 你擔心程式被竊取嗎?

*
你擔心機密文件被駭客入侵嗎?

*
資訊安全專家 - 正新電腦將提供給您資訊保安的產品和服務。


雲端上的應用程式安全

 

上一期說明了資料中心的營運重點,包括如何更有效率地管理與因應雲端服務所衍生的彈性化需求,也提到了必須要求服務供應商在發生資安事故時進行通報,並依照事前所擬定的應變流程進行處理,同時也要保留相關的記錄作為事故檢討,本期將探討在雲端之上的應用程式安全。

資訊科技改變了世界,影響了所有人的生活,藉由資訊科技所提供的各項資訊服務,使得企業的經營運作更加地便利。對於傳統主從式架構(
Client-Server)的應用服務而言,無論其資訊應用是檔案存取、電子郵件或是網頁瀏覽等,在程式的開發設計與維運方面,許多企業都累積了多年經驗因而駕輕就熟,針對來自於軟體、作業系統、網路架構等可能產生的安全風險,隨著許多資安事件的發生,慢慢地也產生了安全意識與認知。

 

不過,隨著雲端運算的出現,當這些應用程式部署到雲端之中,無論採用的型式是軟體即服務(SaaS)、平台即服務(PaaS)或基礎架構即服務(IaaS),依照其服務型式的不同,應用程式的安全管理卻變成了一大挑戰。

其主要的原因是傳統的應用服務大都來自企業本身資訊部門,無論開發、部署、維運、事件處理,有任何問題都能找到對應的窗口與負責的人員,但是對公有雲的雲端服務而言,本質上就是一項委外服務,這也就表示以往既有的安全管控作法,也必須要延伸至服務供應商的領域之中。

 

雲端環境對應用程式的影響

 

隨著雲端運算的廣泛運用,一旦將應用服務移轉至雲端環境之中,部署至雲端的應用程式,就會與多種不同的系統之間彼此產生依賴關係,這對於應用程式的配置與部署將變得十分複雜,而且在管理責任方面,甚至有可能因為應用服務的運作資源,分別屬於不同的服務供應商,當有問題發生時,需要花費更多心力在協調與溝通上。

 

此外,如果使用服務供應商所提供的雲端開發工具,在應用程式開發過程中就會影響既有的軟體開發生命週期(SDLC),包括了設計、開發、文件管理、品質管理、測試、上線、維運與除役等過程,這些與企業既有的作法可能會有明顯的不同,而且開發工具的提供是來自於服務供應商,因此工具的可用性與安全責任的歸屬,必須在事前就進行討論並達成共識,以避免日後產生不必要的爭議。

 

更重要的是,傳統上像是由網站應用程式所提供的資訊應用服務,本身就面對了許多來自基礎設施、作業系統、應用程式本身、網路架構的弱點等所衍生出的資訊安全問題,這些問題一旦未獲得適當的控制或解決,當它部署到雲端環境之中,這些安全弱點同樣存在,而且有可能引發來自外部眾多安全威脅的利用,所以就需要在安全方面實施有效的管理與更多的關注。


 

確保雲端應用程式的安全

 

無論是雲端服務供應商或是用戶,針對支持應用程式運作的系統和相關存取的資料,都必須事先了解其可能面臨的安全風險,一般而言,其主要的風險包括:

 

·缺乏安全管理:管理階層沒有意識到雲端服務可能帶來的新風險,缺少安全政策可作為依據來實施管理和稽核,也沒有實施對應的安全措施。

 

·資料難以控制:雲端的特徵是資源虛擬化,並同時提供給眾多的用戶來使用,雖然用戶看似可以管理雲端上的資料,但實際上卻難以得知資料的所在地,以及相關的存取與銷毀作法,這一切都需要依賴服務供應商來協助進行。

 

·資源隔離問題:由於雲端的多租戶特性,可讓來自世界各地的用戶共享資源,一旦供應商無法有效隔離共用的資源,保持像是記憶體、儲存空間、網路傳輸的獨立性,就可能會導致資訊的機密性、完整性和可用性受到侵害。

 

·法規遵循問題:雲端服務打破了疆界的限制,也面臨了不同區域和產業的法規要求,礙於雲端服務本身的透明度先天不足,如果缺乏後天有效的監控機制,服務供應商也無法提出相關的法規遵循保證,將使雲端服務面臨可能違反法規的問題。

 

為了因應雲端服務的安全風險,企業的管理階層需要及時提供雲端所需的各項資源,以確保有足夠的能量來因應可能發生的雲端安全問題,因此,若能在事前擬定一個應用程式安全確保計畫(Application Security Assurance Program),將會是比較好的作法。

 

在這份計畫之中,至少需要涵蓋應用程式的設計、開發、部署、轉移與維護等過程,並且設定明確的目標與可量測的方式,以及如何實施與追蹤確認等,同時也要為應用程式設定所需的隱私與安全政策,以符合法令法規的要求。

此外,應用程式在雲端上的相容性問題,也是不可忽視的重點,建議在程式開發的過程中,即確保使用業界認可或標準的工具與程式語言,以避免存在已久的安全弱點或相容性問題發生。

 

至於資料的存取安全問題,則應確認服務供應商提供了足夠強度的身分驗證機制,並且採用適當的隔離作法,在應用程式的組態與變更管理方面,除了建立標準的作業流程,更應保留和提供可稽核的各項日誌記錄。

 

由於雲端服務在安全風險方面有繼承的特性,所以也要了解應用程式底下的開發平台運作、基礎設施的實體安全,尤其當這些服務是來自於服務供應商本身所倚賴的第三方供應商。

友善連結 : http://www.netadmin.com.tw/article_content.aspx?sn=1210110002


SafeNet資訊安全保護鎖系列  , 歡迎來電借測 !

正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。

更多產品資訊來源 : 
http://www.pronew.com.tw

正新電腦  TEL : 04-2473-8309