这是一个分为2部分的系列文章的第2部分,该系列文章继续讨论云威胁及其如何影响云中的Web应用程序。以下内容解决了不安全的API和管理平面,从而加深了威胁面。

管理平面–安全角度

云API管理平面是传统计算和云计算之间最重要的区别之一。它提供了一个通常是公共的接口来连接云资产。过去,我们遵循逐个框的配置思路,在这里我们配置了电线串接的物理硬件。但是,现在,我们的基础结构是由应用程序编程接口(API)调用控制的。

虚拟化的抽象得益于API的使用,API是云中资产的基础通信方法。由于管理范式的这种转变,除非对应用程序级别进行了适当的安全控制,否则损害管理平面就像赢得对数据中心的未经过滤的访问一样。

什么是Cloud API?

大多数API使用基于HTTP协议运行的REST(代表性状态传输),使其流行并非常适合与云服务进行交互。 API用于与云服务进行交互,通常包装在基于Web的用户界面中。例如,它们用于执行功能,例如提供,管理,编排和监视。他们无疑向公众敞开了大门,因此,您需要充分保护两者。 API和API密钥。

API可以使用多种身份验证机制,REST(表示状态传输)中没有用于身份验证的标准; Web服务开发中通常采用的一种架构样式。 HTTP请求签名和OAuth都是最流行的利用密码技术来验证身份验证请求的方法。由于Web平台设计不良,有时,您可能会遇到在请求中嵌入密码的服务。这种类型的配置表示安全性较差的环境,并带来了更高的凭证暴露风险。

Cloud API威胁示例

最近,一家大型的云提供商在其API中存在严重漏洞,原因是他们实现了API请求的签名方式。在尝试实现自己的签名算法时,如果能够拦截一个正确签名的请求,则可以执行任意请求修改。

API –安全性观点

所有云服务模型–基础架构即服务(IaaS),平台即服务(PaaS)和软件即服务(SaaS)将以一种或另一种方式使用API​​。从安全的角度来看,两者都是。在设计有效的云安全性时,保护物理基础架构与最优先事项之间的最大区别。如果未经授权的人员进入您的管理平面,则该人员可能具有对整个云环境的完全远程访问权限。

应用安全

越来越多的采用云技术扩大了应用范围。管理平面的安全性配置直接影响Web应用程序的安全性。所有组件都可以在管理平面的控制下驱动。管理平面的安全性现在处于应用程序安全性的范围内,并且任一侧的故障都将泄漏到另一侧。

在云中,关于Web应用程序内部实际发生的事情的透明度大大降低了。总体而言,由于共享的安全模型,云将触发消费者寻找更好,更有效的Web应用程序安全性。因此,云的消费者必须准确地思考并计划更好的安全性。

系统漏洞

系统漏洞是Web应用程序中的错误,不良行为者可以定位并破坏这些漏洞。例如,运行Linux的受Heartbleed和Shellshock影响的系统都暴露了这样的事实,即超过60%的网站使用Linux的某些变体。这被认为是对开源社区的警告。

漏洞扫描和定期修补是此处最有效的工具。补丁是免费的,并且在宣布漏洞后的几天内发布。但是,从宣布漏洞到发行补丁之间需要填补空白。这就是Acunetix工具集发挥作用的地方。将Web应用程序移至云时,系统漏洞不会消失,尤其是在使用PaaS或IaaS服务运营模型的情况下。

概要

在云安全性和业务目标之间始终存在平衡的行为。但是,由于云具有多种业务接触点,因此云威胁具有深远的影响。

如果您将安全外包,则可能会面临风险。如果存在性能问题,您将立即发现它。但是,如果发生安全事件,并且您在应用程序级别上没有使用适当的安全工具,那么可能很多年后才被发现。因此,将手指保持在脉搏上并平稳航行很重要。

Source: //www.acunetix.com/blog/