Web應用程序安全:通過設計來保證安全
應用程序并不是一成不變的,它們可能一開始只是一組功能,然后添加上元素并與其他應用程序合并變成其他復雜的應用程序。隨著應用程序的越來越復雜,漏洞越來越多,特別是托管在Web上的應用程序以及遷移到云端的應用程序都會出現很多安全問題。
“Web應用程序是頭等攻擊目標,因為它們很難被保護。今天,云部署完全由web驅動,這意味著云和web應用程序漏洞將直接碰撞。”OWASP志愿者連接委員會主席兼White Hat安全架構的副主席Jim Manico說。
OWASP主席兼Mozilla安全保障總監Michael Coates認為,為這些技術開發一個“通過設計保障安全”的架構已經是一個挑戰。一旦發展中的企業將新應用納入受信任架構之下,下一個障礙就是在這些應用隨時間改變以及遷移到云中保持一種安全態勢。
據2011年Ponemon Institute和加密供應商對Vormetric對安全與服從性進行的調查發現,大多數安全和服從性方面的專家相信當前部署到云的趨勢到來了更多漏洞。在此項調查里,不到40%的受訪者信任自己的技術有能力保護其云中的敏感數據——不到三分之一的受訪者對其云中的敏感數據進行了加密。
專家稱,加密是一個基礎設計點,所以應在含有敏感數據的應用中充分考慮到,然而這也是云中最難實現的進程。
在一個安全的設計方案中還需要些什么要素?人們會根據自己所在的行業,所設計的云或Web服務類型來給出答案。不過,有一些常見的設計領域可同時應用于Web和云應用。這包括收集商業請求,開發和測試;訪問,驗證和數據保護;配置和分區;可視性;維護和持續性。
開發
專家稱,應用程序是由程序員在不同的時間編寫并進行升級,且通常也沒有總體規劃,程序中包含了一堆有著已知漏洞的代碼,對象和平臺。
賽門鐵克高級技術總監Gary Phillips
賽門鐵克高級技術總監、SAFECode董事會成員Gary Phillips稱,隨著應用程序將更多的部署到虛擬化環境、云計算環境甚至是移動平臺中,一個安全的程序設計要在開發完成前和開發期間都對應用程序進行測試。
據Phillips透露,安全的代碼開發實例正在商務供應商之間興起。最新的IBMX-Force2011年中趨勢與威脅報告中提到的Web應用程序漏洞在減少也證明了這一點。報告中提到這是六年來Web應用程序漏洞第一次出現減少,從去年的49%降到了37%(占2011上半年所報告漏洞總和的比例)。
IBM高級安全總監Jack Danahy
另一方面,IBM高級安全總監Jack Danahy稱,漏洞的數量翻了三番,而寫這份報告的人預計移動漏洞的數量在2012年會翻兩倍。SQL注入,XSS,輸入驗證和大量傳統攻擊方法都盛行于Web應用程序當中,這些則不應該帶到云中去。
為了在應用完成開發前確認哪些漏洞可能被攻擊者利用,必須從整體的角度看應用。應用開發顧問公司Denim集團CTO Dan Cornell稱這就是通常所說的攻擊面。
OWASP,SAFECode,云安全聯盟提供的工具,庫和API等可以幫助程序員模擬應用威脅,發現應用程序中可能出現故障的代碼,調用,互動和功能。
Cornell稱,從確定數據價值開始,應用程序會包含或訪問。例如,如果涉及個人可識別信息(PII),醫療保健或金融信息,應用就會成為目標。然后,通過查看應用的單獨組件模擬威脅。
Cornell建議企業設計安全的工作區,如連接器,API,增強系統。可能的話,使用新的應用設計作為升級舊的不安全系統的契機。#p#
配置
Verizon公司Terremark安全方案總監Omar Khawaja
Verizon云服務子公司Terremark安全方案總監Omar Khawaja舉例稱,假設一個客戶面對的是處理金融交易的Web應用程序。在設計期間,必須在Web和交易服務器之間創建信任邊界來保護數據。這看似明顯的設計點,但是在虛擬環境和云環境中,這些信任區域常被忽視了。
賽門鐵克Phillips稱,當設計商務云服務供應商時,安全的區域也包括云中的客戶是如何彼此分隔的。
身份與訪問管理供應商Symplified公司CEO Eric Olden稱,身份聯盟,驗證和訪問標準——如OAUTH,XACML,SCIM和SAML——現正處于設計種,目的就是滿足訪問需求。
業內專家認為敏感數據加密還應該與驗證聯系起來。不過,據云安全聯盟去年十一月發布的一項調查結果顯示,云加密產品并不是非常有效。該份由TrendMicro贊助的報告推薦給傳輸,存儲中的數據設置多層加密,并進行密鑰管理。
▲Voltage安全產品管理副總裁Mark Bower
Voltage安全產品管理副總裁MarkBower透露,驗證應該與數據加密聯系起來以減少實時數據的暴露——特別是新技術,如隔世保存加密。他說,“加密還應該用于保護授權用戶的實時數據,例如,為了驗證一個交易或是將用戶與其賬號匹配,運營商或許只要查看社保卡號碼碼的最后四位數字或者只查看信用卡號碼的最后一節。”
目前,大多數企業應該可以用數據集中方式加密自己的敏感數據,這意味著存儲中,傳輸中和使用中的敏感信息都處于加密狀態。如果企業過渡到IaaS,他們就要為自己的應用負責,或許他們可以通過基于標準的API在云中復制相同技術。
如果購買SaaS,企業應該了解供應商如何幫助自己加密數據,特別是如何進行云中的密鑰管理。例如,Voltage為Voltage云服務文件和郵件加密客戶管理云中密鑰。企業或許也想用on-premise密鑰服務器控制自己的密鑰。
OWASPManico稱,當思考云中的應用程序部署時,托管環境的特殊類型決定了安全功能(如加密和監控)會怎樣獲得支持。
例如,在IaaS模式中,要求這項服務的企業要對自己的應用程序負責。而如果是SaaS,供應商則會為企業管理應用。SaaS服務供應商還能管理云中的安全應用,并為客戶提供新的安全服務。
可視性和維護
在研發的關鍵階段和應用程序投入生產后,靜態分析和功能性測試也同樣重要。所以必須在設計,開發和后期生產期間測試應用程序以維護應用程序的安全態勢。
賽門鐵克Phillips稱,這意味著設計必須包括基本的監控支持,如產生有用的日志,數據和訪問注冊的更改。
有大量工具與服務可用來測試Web應用程序看是否存在SQL注入,XSS和其他源于代碼的功能型漏洞。不過,專家認為在公共云應用的可視性方面,企業必須依靠其云服務供應商提供的監控工具來監視自己的數據。對供應商網絡的監視主要依靠合同和年度審核。
安全的設計需要在業務,開發和安全部門之間共同計劃和協調。做起來雖難但并非不可能。#p#
程序安全設計的資源
為程序員尋找指導方針比為設計師和規劃者尋找指導方針要容易。下面就是例子:
云安全聯盟有很多用于開發和部署云的指導方針,包括:
云計算重點領域安全指南——描述了云類型和組成要素以及映射出架構,管理和運營中關鍵區域威脅的方法。
一個CloudControlsMatrix樣式表為云服務運營商和客戶列出了控件區域,規格和架構組件。
訪問公共云,私有云和混合云環境的工具集
OWASP有一個常用的代碼審查指南,它將安全,設計和業務環境聯系起來。其他流行的資源包括:
給程序員的安全小抄;
威脅建模指導;
安全編碼與測試指引。
SAFECode最近發布了安全軟件開發基礎實例的第二版,其他資源包括:
供應鏈應用的軟件保障;
軟件完整性控制的概述;
軟件安全工程師培訓。
程序安全設計要點
不論應用程序被部署在何處,基礎設計架構都適用。在賽門鐵克案例中,開發團隊都遵循這些基本設計原則:
1、在信任邊界數據重復驗證與保護
在信任邊界進行的數據傳輸必須受到保護,如在跨優先級別的處理或是兩個獨立電腦之間進行處理。數據的類型,數值范圍,客戶端和服務器端的語義都必須進行驗證。數據保護可通過數據簽名這類機制來部署。
2、服務器和用戶代理的共同驗證
由于許多不受信任的實體都涉及用戶代理和服務之間的互動,所以用戶代理和服務必須創建共同驗證,而最好是通過PKI和多要素驗證實現共同驗證。
3、防止偷聽——強加密
敏感數據和關鍵數據可能暴露在用戶代理和服務器之間不受信任的實體面前。FIPS140-2服從加密法則必須用于傳輸中的數據。即便是閑置的敏感數據也必須加密。要使用加強型密碼增加解密的難度。
4、會話超時和一次性密碼
長時會話可能導致攻擊重現和會話劫持。特別是在云應用中,一次性密碼和短時會話可以顯著降低這類漏洞的威脅。
5、最小特權
由多個要素組成的應用程序只能授予最低許可和最小權限,以減少攻擊者提高優先權帶來的風險。
6、分區
隔開開規定的權限和資源,從而減少資源消耗和ddos漏洞。
