Web应用程序安全：利用设计来保证安全

    应用程序并不是一成不变的，它们可能一开始只是一组功能，然后添加上元素并与其他应用程序合并变成其他复杂的应用程序。随着应用程序的越来越复杂，漏洞越来越多，特别是托管在Web上的应用程序以及迁移到云端的应用程序都会出现很多安全问题。

    “Web应用程序是头等攻击目标，因为它们很难被保护。今天，云部署完全由web驱动，这意味着云和web应用程序漏洞将直接碰撞。”OWASP志愿者连接委员会主席兼WhiteHat 安全架构的副主席Jim Manico说。

    OWASP主席兼Mozilla安全保障总监Michael Coates认为，为这些技术开发一个“通过设计保障安全”的架构已经是一个挑战。一旦发展中的企业将新应用纳入受信任架构之下，下一个障碍就是在这些应用随时间改变以及迁移到云中保持一种安全态势。

    据2011年Ponemon Institute和加密供应商对Vormetric对安全与服从性进行的调查发现，大多数安全和服从性方面的专家相信当前部署到云的趋势到来了更多漏洞。在此项调查里，不到40%的受访者信任自己的技术有能力保护其云中的敏感数据——不到三分之一的受访者对其云中的敏感数据进行了加密。

    专家称，加密是一个基础设计点，所以应在含有敏感数据的应用中充分考虑到，然而这也是云中最难实现的进程。

    在一个安全的设计方案中还需要些什么要素？人们会根据自己所在的行业，所设计的云或Web服务类型来给出答案。不过，有一些常见的设计领域可同时应用于Web和云应用。这包括收集商业请求，开发和测试；访问，验证和数据保护；配置和分区；可视性；维护和持续性。

    开发

    专家称，应用程序是由程序员在不同的时间编写并进行升级，且通常也没有总体规划，程序中包含了一堆有着已知漏洞的代码，对象和平台。

    赛门铁克高级技术总监Gary Phillips

    赛门铁克高级技术总监、SAFECode董事会成员Gary Phillips称，随着应用程序将更多的部署到虚拟化环境、云计算环境甚至是移动平台中，一个安全的程序设计要在开发完成前和开发期间都对应用程序进行测试。

    据Phillips透露，安全的代码开发实例正在商务供应商之间兴起。最新的IBM X-Force 2011 年中趋势与威胁报告中提到的Web应用程序漏洞在减少也证明了这一点。报告中提到这是六年来Web应用程序漏洞第一次出现减少，从去年的49%降到了37%（占2011上半年所报告漏洞总和的比例）。

    IBM高级安全总监Jack Danahy

[page]    另一方面，IBM高级安全总监Jack Danahy称，漏洞的数量翻了三番，而写这份报告的人预计移动漏洞的数量在2012年会翻两倍。SQL注入，XSS，输入验证和大量传统攻击方法都盛行于Web应用程序当中，这些则不应该带到云中去。

    为了在应用完成开发前确认哪些漏洞可能被攻击者利用，必须从整体的角度看应用。应用开发顾问公司Denim 集团CTO Dan Cornell称这就是通常所说的攻击面。

    OWASP，SAFECode，云安全联盟提供的工具，库和API等可以帮助程序员模拟应用威胁，发现应用程序中可能出现故障的代码，调用，互动和功能。

    Cornell称，从确定数据价值开始，应用程序会包含或访问。例如，如果涉及个人可识别信息（PII），医疗保健或金融信息，应用就会成为目标。然后，通过查看应用的单独组件模拟威胁。

    Cornell建议企业设计安全的工作区，如连接器，API，增强系统。可能的话，使用新的应用设计作为升级旧的不安全系统的契机。

    配置

    Verizon公司Terremark安全方案总监Omar Khawaja

    Verizon云服务子公司Terremark安全方案总监Omar Khawaja举例称，假设一个客户面对的是处理金融交易的Web应用程序。在设计期间，必须在Web和交易服务器之间创建信任边界来保护数据。这看似明显的设计点，但是在虚拟环境和云环境中，这些信任区域常被忽视了。

    赛门铁克Phillips称，当设计商务云服务供应商时，安全的区域也包括云中的客户是如何彼此分隔的。

    身份与访问管理供应商Symplified公司CEO Eric Olden称，身份联盟，验证和访问标准——如OAUTH，XACML，SCIM和SAML——现正处于设计种，目的就是满足访问需求。

    业内专家认为敏感数据加密还应该与验证联系起来。不过，据云安全联盟去年十一月发布的一项调查结果显示，云加密产品并不是非常有效。该份由Trend Micro赞助的报告推荐给传输，存储中的数据设置多层加密，并进行密钥管理。

    ▲Voltage安全产品管理副总裁Mark Bower

    Voltage安全产品管理副总裁Mark Bower透露，验证应该与数据加密联系起来以减少实时数据的暴露——特别是新技术，如隔世保存加密。他说，“加密还应该用于保护授权用户的实时数据，例如，为了验证一个交易或是将用户与其账号匹配，运营商或许只要查看社保卡号码码的最后四位数字或者只查看信用卡号码的最后一节。”

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!