云应用测试技术探索

云应用测试技术探索

云应用安全测试还相当新且复杂,因为需要确保安全的交叉点和传输点在不断增加。测试体制还增加了若干显著差异以确保云基础设施系统的安全。

通常而言,云应用的安全测试技术与Web应用测试类似。向Web应用安全一样,组织必须确保机密或隐私数据保持安全,不仅在云系统如此,在应用和任何连接系统上都应如此。云应用安全测试还相当新且复杂,因为需要确保安全的交叉点和传输点在不断增加。测试体制还增加了若干显著差异以确保云基础设施系统的安全。首先要记住的是的组织云系统的结构。测试必须在内部云中完成,以及与其他云的连接点,包括内部和外部的。测试还必须要跨越云进行以确保数据安全和完整性,并将测试安全纳入应用之内。

在开始云测试努力之前,记住该基础设施是由另一个组织拥有和管理的,所以测试者不会拥有在内部管理系统中一样的访问。安全测试涉及到测试攻击工具、网络、配置设置以及导致不利系统响应的其他数据等。必须告知云供应商测试情况以便准备好对测试的支持并履行任何的合同义务。

要想进行有效的云应用安全测试,需要在云基础设施内部、外部、跨云基础设施以及云应用本身建立安全相关的测试,以确保应用使用的业务数据和云系统是安全的。

内外部测试

内外部测试意味着把整个云基础设施当作一个系统来进行测试。其范围依赖于组织和应用的设置。云系统可以是单个的,也可以是内部的,或者也可以是多系统的,既有内部也有外部的。测试的一项重要考虑是识别云系统的结构以及受测试应用在系统内是如何运作的。测试者需要知道所有的连接点,包括数据连接和传输的细节,或者用来传递信息给应用的数据消息服务。

从测试每一个云的内部功能开始,然后为所有的连接点或额外的云建立测试。注意,知道云的性质以及云是内部的、外部的还是混合的很重要。测试需要被修改为在内部云完全测试数据的安全,并测试该数据是可以被外部访问还是通过消息系统访问。

测试云端应用包括类似用于Web应用测试的渗透和数据测试技术。不同的是系统结构和基础设施有云供应商而不是内部组织管理时测试者获得访问的数量。其主要目标使验证数据和应用在内部使安全的,并测试所有的连接点,因为每一个连接都有可能是未经许可的入口或访问。

跨系统测试

跨云系统测试类似于从“外部”测试,但也有不同。跨云系统测试意味着测试公有、私有或混合云应用。大多数云应用的目的都是在应用以及因此也在云系统之间共享数据。再次地,在知道云系统的总体结构、云应用与该系统的交互方式以及共享信息或数据方式时测试最有效。

安全测试跨云和应用进行时,主要的关注点是确定数据是否被不恰当地访问或共享。作为测试者,我希望看看是否可以通过操纵云系统配置及访问或角色安全,或者通过拦截消息或消息队列获得非授权的数据访问。把注意力集中到发现以及测试任何可以被操纵为允许访问进入云系统的集成或连接点上。除了复杂的路径以外,也要测试那些看似更简单或明显的地方,以便验证黑客无法获得对机密数据的访问。

Web应用测试与云应用测试的另一个需要记住的重要差别是,Web应用有边界,而云应用没有。因为有可能是无边界的,所以测试者需要深入全面调查任何连接点或安全边界情况。包括测试网络访问、逻辑错误以及架构性安全问题。安全测试云应用迫使测试者跳出盒子去测试,因为云基础设施在设计上就是开放的。

测试挑战

除非组织测试团队获得访问授权,云应用安全测试的一个重大挑战是缺乏对日志的访问。记住,组织并不拥有系统,因此在云环境下访问服务器日志及其他类型的文件是不行的。测试者必须可以通过观察拥有响应、数据本身,以及性能或时间问题等在应用内可见的东西来确定问题是否存在。比方说,在应用内,聚焦于验证某窗口的输入,然后在另一个额外应用窗口内验证数据。熟悉应用数据流、合法数据定义以及应用与特定云之间的工作流那是必须的—换句话说,你得知道哪一个数据可以访问以及合法与非法数据显示的规则是什么。

基于云应用基础设施的性质,彻底测试是必不可少的,而且大部分的测试应该基于应用行为或响应来进行。要彻底规划好测试时间。没有经由应用或云连接点获得的非授权的数据访问对于一个组织的商业成功来说是必不可少的。

相关推荐