16、云平台、基础设施与应用安全全解析

云平台、基础设施与应用安全全解析

1. 云平台与基础设施安全测试

云平台与基础设施安全测试有不同的级别，各有特点和适用场景。

1.1 不同测试级别

• 演练测试 ：比简单的流程走过场更全面详细，参与人员模拟应对灾难的响应。
• 并行测试 ：在可能的情况下，要注意不干扰正常业务运营。关键人员和员工实际执行灾难发生时所需的步骤，而非仅仅模拟。关键系统继续运行，部分或全部数据也在备用站点运行，以便比较备用方法与关键系统的结果，确定能力差距。
• 完全切换测试 ：全面模拟灾难，断开主系统，企业尝试运行关键功能。这是高风险测试，只有最成熟的组织和完善的计划才应尝试。

1.2 云迁移要点

迁移到云是一项商业决策，它将资本支出转变为运营支出，能以有吸引力的价格为各类企业增加高可用性和弹性，还提供一些并非所有企业都具备的能力。为实现这些好处，客户需要了解云环境的关键基础设施组件，明白云服务提供商（CSP）与客户之间的共享安全责任，以及正确配置和使用所购买的云资源，确保有适当的控制措施来保护流程和数据。

2. 云应用安全概述

云应用安全常被忽视，但如果运行在基础设施组件上的应用软件不安全，整个企业都将面临风险。

2.1 倡导应用安全培训与意识

安全的软件开发始于安全文化的培养和安全软件开发生命周期（SSDLC）的实施。软件保障卓越代码论坛（SAFECode）确定了三个部分：高管支持与参与、