模块5：保护云应用和用户.pptVIP

漏洞评估代表了对云消费者的实际的挑战 对普通的企业计算而言，漏洞扫描是一个重要的IT问题，但在云中没有什么是给定的。 第一个问题是－你能扫描吗？有的服务商允许，其它的需要注册，否则告警会产生。 一个问题是你可以扫描多“深”？对于IaaS来讲，应用和数据层通常会涵盖，但主机及以下则不会。对于PaaS和SaaS，扫描可能仅能覆盖系统的一部分子集。 在应用和平台一侧，云用户应该首先理解APP和平台，然后在考虑扫描。不了解目标系统的扫描结果不会是有帮助的，因为它们缺乏上下文。 在一些云环境中，隔离开发和产品环境可能很困难（有的服务商很容易做到），但对平台的理解是十分关键的，以确保扫描目标设置的正确。 16 These areas are the same ones that would be included for a web application test, but the Cloud brings additional threat vectors to this scope as we will see on the next slide 这些领域与一个web应用测试应涵盖的内容相同，但云对该范围带来了额外的威胁向量，下一页幻灯片中我们将会看到。 17 云中的渗透测试对测试活动清单带来了一个额外的维度－就是从一个租户向其它租户发起的攻击。现实的讲，租户内部的攻击很少见，但在处理十分关键的信息时应该考虑。有些从业者将这视作一种特别的授权验证场景，只是在hypervisor或云管理层面，而非在应用层。 18 当你开展应用测试时，将应用的访问仅限制在测试者范围是明智的。尝试持续集成测试、自动化单元和功能测试等选项，而不是仅依赖专有安全工具将是有用的。有一些很棒的关于利用devops和安全的演讲值得学习，如果你需要经常性开展此类工作的话。只有当你认为处于一种很舒适的状态时，你在将应用开放给全部目标用户访问。 重要声明：你必须与你的云服务商确认它们的安全测试策略，无论是在应用层还是在操作系统层。允许什么、不允许什么的策略在不同服务商间差异很大。 19 Monitoring applications is a multi-faceted job. The CSA Guidance lists five distinct types of monitoring. The most fundamental being – Monitoring your logs! Not just storing them and never looking at them, aka Compliance “zombie ware.” No one looks or cares, but they are recording 监控应用是一项多元化的工作。CSA指南列出了5种不同类型的监控。最基本的是－监控你的日志！不要只是存储而从来不查看它们。没有人看也没人关心，但它们仍在记录。 The other four types of monitoring services can be seen as to how much a priori knowledge is assumed. Performance and policy violation monitoring means defining a set of goals up front and then reviewing logs for those types of events and thresholds 其他的四类监控服务可被看作是推理知识被假定的程度。性能和策略违反监控意味着预先定义一个目标集合，然后审查日志以发现符合条件的事件和门限值。 Monitoring for malicious use and compromise is more subtle and relies on careful inspection looking for outliers 监控恶意使用和入侵更加精细并依赖于仔细的检查寻找外来人。 To achieve these goals the monitoring system should ensure that the log messages are able to be parsed automatically and that the log messages are actionable 要取得这些目标，监控系统应确保日志消息能够被自动解析，以及日志消息是可以操作的。 21 24 Here’s an example of how a DNS-redirected cloud WAF works. The DNS record points