云应用安全测试技术分析

2021-11-22程海涛

中国管理信息化 2021年8期

程海涛

（大庆石油管理局信息技术公司北京分公司，黑龙江大庆 163000）

0 引言

从本质上看，云应用安全测试与传统的Web 应用测试具有高度的相似性，重点都是要通过安全测试来发现应用中存在的安全隐患，通过测试结果来进行漏洞识别与修复，保障数据存储、使用的安全性。云应用安全测试是新概念，在实际的应用过程中，操作难度非常大，再加上云应用中安全交叉点、传输点数量的不断增加，使得在开展安全测试的过程中，要保障测试的全面性，积极通过内外测试来消除应用中的安全风险。

1 云安全技术概况

计算机、信息技术等的快速发展，使得云计算应运而生，加快了网络时代的发展。各种云应用的开发，在为人们提供便捷的同时，也带来了巨大的安全隐患，比如，云应用中的信息泄露情况。从根本上看，云安全技术实现了网络计算、未知病毒行为判断并行处理等各种新技术、概念的有效融合。通过网状分布的客户端，云安全技术中的相关模块可以对网络软件中的异常行为加以监测，通过这一监测过程，就可以全面掌握云应用中的全部行为，对全部的数据和信息加以分析。这一过程中，云安全技术中的相关模块能够及时发现异常侵入、恶意攻击、病毒入侵等行为，当收集到这些异常情况以后，系统还可以自动将这些信息发送给客户端，在经由全面的分析和处理后，可以制定出最为有效的安全处理方案［1］。

2 云安全技术的实现与应用

2.1 建立科学合理的资源池

伴随着云计算概念的提出和应用，很多领域都在积极搭建云计算框架，而如果要保障云计算架构的科学性与合理性，就必须要率先建立科学合理的资源池。在传统的互联网技术（Internet Technology，IT）基础架构中，专门的资源和应用之间存在着非常高的关联性，为了使系统能够具备少量峰值的负载，往往存在过度进行资源配置的情况，资源重复利用的效率偏低［2］。根据有关统计，传统IT 资源的平均重复利用率在20%以下。资源池构建需要服务器、存储、网络等多种资源，构建的目的是要将这些多样化的资源以比价虚拟化的方式形成更为综合的资源池。在云计算概念下，资源池建设可以直接通过分布式计算的方式，来保障资源分配的科学性与合理性。这一计算和分配方式不仅可以消除物理边界的限制，还可以大大提升资源的重复利用率，提升资源池的计算水平［3］。云计算中，资源池的构建是基础环节，在后续云计算基础架构的实现过程中，具有不可替代的作用，只有保障了资源池建设的科学性，才可以根据应用本身的需求来动态分配资源。

资源池建设需注意以下要点。①在正式的建设开始之前，专业人员需率先根据资源池建设的实际需求来准备好必备的物理资源，为资源池建设做好充分的前期准备，利用虚拟化方式来建设。一般情况下，一个物理服务器可以将几个或者几十个服务器全部虚拟出来，且这一虚拟模式下，每个虚拟机都可以根据不同的任务需求来运行［4］。②资源池的兼容性相对较强，由于其服务对象可以是很多的平台，各个平台上的运行需求有所不同，而资源池可以根据不同平台的现实需求，来提供给不同平台不同的负载。各个企业的应用类型非常多样，使得在平台建设的过程中，要积极根据这些需求来进行设计。比如，一个企业可以同步开发Linux 和Windows 双应用，甚至可以是基于Unix 的应用。这一情况下，企业在平台优化和建设的过程中，原有应用可以直接在资源池上使用。③在企业业务范围逐步扩大的过程中，IT 资源的需求也在逐步扩大，与此同时，应用类型也日渐增多。这种情况下，就需要使资源池具有非常强的扩展能力。

2.2 现阶段保障云安全的具体方案

基于云安全考虑，一些软件厂商逐步开发出可以有效保护全网安全的体系架构。比如，金山毒霸开发云安全系统，不仅包括智能化客户端，还包括集群式服务端和开放式平台，在投入使用以后，可以有效解决互联网环境下存在的各种病毒威胁。在这一安全体系中，“可信云安全平台”是核心技术，其具体包含了以下内容。①可信云安全。这一技术也就是云端人工智能的自动鉴定，通过这一技术的应用，在互联网环境下，可以在非常短的时间内就有效对大部分的未知样本加以识别和判定，主要包含了收集、鉴定、发布等技术体系和流程，在该体系内，以互联网的可信认证、人工智能自动分析和样本极速匹配为基础，客户端即使每天应对的查询请求非常多，也可以实现瞬间响应［5］。②蓝芯II 云引擎。这一引擎技术可以对全部的病毒开展高效、精确地查杀。

3 云应用安全测试技术

3.1 内外部测试

云应用的安全测试过程中，内外部测试是最为基础性的测试。要在具体的安全测试过程中，将云基础设施作为一个独立的系统个体来开展全面的安全测试，内外部测试的范围主要是由组织和应用设置情况来决定的。当然，云系统可以是单个个体，也可以是系统内部的，甚至可以是多系统的、具有内外部双重属性的应用。安全测试技术应用的过程中，必须要利用测试技术来对云系统的结构、运行状态和流程加以全面识别，测试者在测试的过程中，为保障测试工作的高效开展，必须要在前期的测试准备工作中，全面了解并掌握其中的全部连接点，包含数据连接和传输的细节性内容。安全测试要从云应用中的某一特定内部功能开始，然后为所有的连接点或额外的云建立测试。在内外部测试的过程中，对云性质、内外部、混合的判定是非常重要的。测试云端主要包含了渗透测试技术和数据测试技术，这一点是与Web 应用测试高度相似的，其最为突出的区别就在于系统结构、基础设施中存在云供应商。

3.2 跨系统测试

跨系统测试技术应用与“外部”测试相类似，但也存在一定的区别。跨云系统测试重点应放在测试公有云、私有云和混合云应用方面。对于绝大多数的云应用而言，其开发的最终目的是要在各个云系统之间实现数据、信息的共享和集成。在安全测试技术的应用过程中，要保障测试的有效性，就需要在了解云系统总体结构、云应用与系统交互方式、共享信息和数据方式的基础上开展测试［6］。安全测试跨云和应用时，重点需放在数据是否存在异常访问与共享的判定方面。作为测试者，需要通过操作云系统配置或者角色安全、拦截消息、消息队列能否获得非授权数据访问的权利方面，只有做好了这些方面的测试，才能够说明安全测试是有效的。云应用的路径非常复杂，在跨系统测试的过程中，不仅需要对这些复杂路径加以测试，更需要进行安全路径的测试，以通过全面测试来消除云应用、系统中的安全威胁。Web 测试与云应用测试还存在着一个突出的区别，就是Web 应用存在边界，而云应用则没有，由于可能是无边界的，就使得在测试的过程中，测试人员必须要全面调查其全部的连接点和安全边界情况。

4 测试挑战

云应用安全测试的过程中，同样存在着一定的测试难题。由于组织并不系统，这就使得在云环境下，直接对服务器日志和其他类型文件的访问都是不可行的。测试过程中，测试人员必须要密切观察数据的具体情况、性能和时间等，来进行相关问题的准确判定。比如，在云应用中，如果重点放在某窗口输入功能的验证方面，就需要用另外一个应用来确定是否存在问题。如果要保障测试结果的有效性，相关测试人员必须要详细了解数据流、合法数据定义、应用和特定云之间的关系信息，只有在掌握了这些基础的信息以后，才能够使安全测试工作顺利开展，使得安全测试技术选择、流程确定符合实际的测试需求。由于云应用基础设施的性质比较特殊，在开展安全测试的过程中，彻底测试是非常关键的，大部分的测试应该以应用行为和响应作为基础，在测试的过程中，专业人员必须充分做好测试时间的科学规划。