這些知識點你都了解了嗎？#雲安全CCSK-M5：保護雲應用和使用者

内容概述：

保護雲應用和使用者。該子產品涵蓋了雲部署的身份管理和應用程式安全。主題包括結成同盟身份和不同的IAM應用程式、安全開發以及管理雲中的應用程式安全。

知識架構圖：

保護雲應用和使用者域包括（源自于：CSA雲安全指南-M5）：

一、應用安全

雲計算主要為應用程式帶來安全優勢，但與大多數雲技術領域一樣，帶來了機會和挑戰。其中機會有：更高的安全基線、響應能力更高、隔離環境、獨立的虛拟機、彈性、DevOps、統一接口；其中挑戰有：可見性受限、管理平台/元結構直接影響任何應用程式安全性、不斷變化的威脅模型、更少的透明度。

安全軟體開發生命周期(SSDLC) 描述了在應用程式開發、部署和操作的各個階段中的一系列安全活動。無論使用哪種特定的SSDLC，雲計算都将影響SSDLC的每個階段。

雲計算所支援安全應用程式設計和開發有五個主要階段：教育訓練、定義、設計、開發和測試。

自動化部署在雲環境中往往更加突出，自動化的安全性測試非常頻繁的內建到部署管道。

脆弱性評估可以內建到CI/CD管道中，并且相當容易地在雲中實作。有兩種具體的模式，一種是：針對鏡像或容器進行完整的評估；另一種是：通過過使用基礎設施作為代碼建構一個測試環境來測試整個基礎結構。

與脆弱性評估一樣，未經雲提供商的許可，幾乎肯定會有滲透測試的限制。

CI/CD管道通過支援不可變的基礎設施（減少對生産環境的手工更改）、自動化安全性測試以及當這些更改通過管道運作時應用程式和基礎設施的大量日志記錄，可以增強安全性。配置正确後，日志可以跟蹤每個代碼、基礎架構和配置更改，并将它們與送出更改的送出人和準許的人聯系起來；它們還将包括任何測試結果。

生産環境可以比非雲應用程式部署中通常可能的更緊密，其中大部分基礎架構都手動配置為規範。當安全性正常進行時，使用基礎設施作為代碼和不可變的部署可以顯着提高安全性。

雲計算本質會在首選應用設計、體系結構和模式中創造了變化。其中一些與安全無直接關系，但以下趨勢有助于減少常見安全問題，包括：預設隔離、不可變的基礎設施、增加使用微服務、PaaS 和“無伺服器”體系結構。

所有服務類型的雲提供商需要特别注意其應用服務的某些方面，包括：需要對API和WEB服務進行廣泛的強化，并假設來自身份驗證和未驗證的對手的攻擊。這包括使用專門為API設計的行業标準認證；應監測API的濫用和異常活動；服務應經過廣泛的設計和測試，以防止攻擊或不當/意外的跨租戶通路。

SecDevOps/DevSecOps和Rugged DevOps：用來描述将安全活動整合到DevOps的過程。其中，SecDevOps/DevSecOps有時指的是使用DevOps自動化技術來改進安全操作；Rugged DevOps指的是将安全測試整合到應用程式開發過程中，以産生更加堅固、更安全、更具彈性的應用程式。

二、身份、權限和通路管理

雲計算的出現，對于内部系統的傳統IAM管理引入了許多變化，這并不是說這些都是新問題，但在處理雲的IAM管理時是更大的問題。關鍵的差別是雲提供商和雲消費者之間的關系，IAM不能僅僅由一方或另一方來管理，是以需要建立信任關系，通過責任指定和技術機制來實作，通常情況下，我們将這種方式歸結為聯邦。

安全鑒别标記語言SAML 2.0 是聯合身份管理的OASIS标準，支援身份驗證和授權。它使用XML來在身份提供者和依賴方之間做出鑒别。OAuth是一種非常廣泛用于Web服務的IETF授權标準（包括消費者服務），旨在通過HTTP進行工作。OpenID是聯邦認證非常廣泛支援的Web服務标準，它是基于URLs 的HTTP對身份提供商和使用者/身份進行識别。

雲提供商需要幾乎總是支援直接通路服務的使用者的内部身份、辨別符和屬性，同時還支援聯邦，以便組織不必手動配置和管理供應商系統中的每個使用者，并頒發每個人的獨立憑據。

雲消費者需要決定他們希望在哪些地方管理自己的身份，以及他們希望支援哪些架構模型和技術，并與雲提供商內建。

雲計算對身份驗證的最大影響是使用多因素強身份驗證，多因素認證為減少賬戶的惡意利用提供了最好的選擇。

雲以多種方式影響權限、授權和通路管理，包括：雲提供商和平台需要具有一套自身潛在授權機制，雲提供商負責強制授權和通路控制，雲消費者負責定義權限并在雲平台中正确配置它們，ABAC是基于雲的通路管理的首選模式。

使用一個更高水準保證措施，如憑證控制，數字證書，實體和邏輯上獨立的通路控制點，以及堡壘機等單獨嚴格控制的系統，對特權使用者的登入行為進行控制更為有益。

測一測，看看您掌握了多少？

M5：保護雲應用和使用者域的相關測試：

https://jinshuju.net/f/zQx1Qp