安全就像一个秘密,谁都想握在自己手中,交给任何人都是不可靠的。可是在互联网时代,秘密似乎没有那么隐蔽了,而安全控制也发生了变化。云计算,虚拟化,社交媒体等新的趋势都在提倡一种资源共享,这为安全带来了更大的挑战。安全是否也可以共享,集多数人的力量共同抵御攻击威胁?在日前举行的OWASP 2011亚洲峰会上,本站记者采访了OWASP长岛分会创会会长高雯女士,针对Web应用安全,云计算等问题进行了探讨,并分享了OWASP在安全方面所作的努力。
应用安全一窥
高雯女士因对应用安全感兴趣在2006年加入OWASP。她觉得应用安全对互联网会有很大影响,但当时很多人都不重视应用安全。06年的时候,她所在的公司主要做网络文件上传,客户多是保险公司和财政公司。她说道,这些客户的数据都属于机密性的,可是当时并没有这种意识和技术,所以传送的很多东西都不太安全,很容易被窃取。虽然现在已经有很多改善, 但问题依然存在。
针对这种问题,对数据进行加密是个可行的解决方法。但高雯表示,加密说起来容易,做起来很难,成本很高。加密本身并不贵,就是一个数据算法,但是解密是个问题,解密需要密码,如何在传输过程中互通密码是很难做的,这也是花费最多的地方。当然,现在已经都加密了,已经有一些可行的加密方法。
“没有控制,”是Web应用安全在云计算环境下的最大挑战,高雯说道,“什么是最安全的?就是拥有所有的控制,对所有应用,所有访问都有控制。但是一旦把应用推广到云端,就失去了控制,不再是企业自己管理,而是别的公司管理。云计算环境的特点是成本低,伸缩性强,之所以可以拥有这样的特点是因为大家共享资源,企业一开始不需要花费大量的人力物力去建立一个数据中心。但共享资源是计算科学最头疼的地方,很多人说云计算环境是计算机安全的一个噩梦。不过历史趋势就是这样,企业要走向互联网,走向云端,他不会因为安全还没做到就停滞不前,因为企业有它自身的需求和必要。所以应用安全必须在后面吭哧吭哧跟着,希望不要掉队太多。”
在近年虚拟化和云计算的趋势下,数据中心本身和应用计算架构的“焦点”已经逐渐由“硬”变“软”,变得越来越虚拟,云计算环境下,卖得不再是产品,而是服务。
图为高雯女士在采访现场
“共享”安全的努力
OWASP(Open Web Application Security Project,开放式Web应用程序安全项目)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
OWASP在中国最有名的莫过于OWASP TOP 10安全威胁了,这是每一两年更新一次的,很多企业和厂商都会参考这个报告。高雯介绍到,“这种项目是由几个专业的人士带头去做的。这种报告之所以做的比较好,被很多人采用因为这种研究是要公之于众的,任何人都可以去改进,去批评。”
“OWASP是一个非营利性机构,或者说慈善机构,它不卖产品,也没有认证。它根据自己研究出来的结果,建议你该怎么做,目的是为了提高整个行业对安全的认识,所以多多益善,你交钱或者不交钱都可以互相分享。
高雯说道,“OWASP与任何企业和公司没有依赖关系,它最大的优势和生命力就是公正,要站在用户角度来思考问题。当然,十年来OWASP的压力也很大,有些企业或厂商会希望OWASP去认可某一种产品或提出一个认证,但OWASP清楚自己的生命力在于什么,所以抵挡了这些要求。”
“比如我,在OWASP做志愿者那么多年是没有拿过一分钱的。我们出去演讲是不能谈具体的产品,所有的幻灯片都是用OWASP的统一模板。”高雯补充道。
高雯谈到自己加入OWASP后做得最值得骄傲的两件事:一个是成立了长岛支部。一个是将亚太地区的会费减少到20美金(其他地区是50美金。会费是为了支持一些项目和会议,比如于OWASP TOP 10和OWAS亚洲峰会)。她做这两件事都有一个共同的出发点,那就是共享安全。让长岛的IT精英们提供更多的技术和经验,让更多亚太地区的人认识OWASP。(注释:长岛是一个有200万人的区,它属于纽约,它的特点是军工业和大学比较多,比如CA(computer association)的总部在长岛。OWASP在美国和西欧非常有名,为各大政府,教育机构和企业提供帮助。)
高雯还介绍到,“任何人都可以加入OWASP,没有要求。因为OWASP所有的东西都是开源的,你不用花钱去获取任何资料,你交了50也好,20也好,没有任何的优先权。比如我妈妈想要支持我的工作,她也可以入会。”
不懂测量就无法解决问题
关于用户如何根据OWASP的结果选择厂商产品时,高雯表示,“OWASP会告诉你它是怎么衡量产品的,列出很多条衡量标准,让你一个一个对着查看,但不会告诉你应该用哪个厂商的产品。”
针对很多厂商的产品标准不一,OWASP也正在致力于提供标准,OWSAP有句话是,“如果你不懂得测量,你就不知道你解决了什么问题。”OWSAP花大量的时间进行测量,它会告诉你一个什么样的WAF才是一个好的产品,什么指标是最重要的。
现在在很多大会上都会听到一些专家建议建立共享社区,让厂商,企业,用户可以分享各自经验,有助于及时阻止威胁或减轻威胁影响。或许很快就会看到这么一天,“共享”对安全来说不再只是挑战,它同样可以推动安全更好的发展。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
如何保护无服务器应用?
无服务器应用的新趋势有望帮助我们实现云计算的原始梦想。通过无服务器应用,不再有维护基础设施的工作,让你可专注于构建更好的应用,这是非常令人信服并相当强大的……
-
云是网络攻击的潜在金矿,端到端安全成迫切需求
为保企业借助云计算进行数字化转型成果不被网络攻击者破坏,企业在部署云服务之初就需要将云安全问题考虑在内,并通过部署整合的安全方案为企业的数据资产护航。
-
“安全即代码”:整合安全团队和DevOps团队
随着云计算开发和部署变得越来越快且越来越灵活,安全团队意识到,保护云应用和系统部署的唯一有效方法是开发可整合到部署管道的安全控制,以及尽可能自动化……
-
云服务提供商该为安全负什么责任?
随着云计算使用不断增加,数据保护和网络安全的共同责任模式概念也在改变。虽然这并不是新概念,我们已经与大多数外包共享安全责任多年,但共同安全责任的性质已经随着云计算的出现而改变……