云数据存储 问题和威胁每个QA测试人员都应了解

2019-10-13 17:29:46 来源:

在线协作解决方案,Web 2.0应用程序,数据库,存储和QA / DEV环境是典型的云用例,这些用例多年来已变得越来越重要当今业务需求的挑战已导致每个质量保证(QA)测试人员考虑如何利用云作为基础结构,平台甚至软件。在线协作解决方案,Web 2.0应用程序,数据库,存储和QA / DEV环境是典型的云用例,这些用例多年来已变得越来越重要。随着这些用例的重要性日益提高,了解质量检查测试人员面临的问题和威胁也变得尤为重要,尤其是在使用云数据存储的测试环境中。

让我们深入研究这一点,了解数据如何存储在云中;他们的生命周期;如何保护它们;以及有关云存储的安全性问题。

云计算和云数据存储

我们知道,云计算是由远程服务器执行的一组“远程处理”,可以随时随地使用。它通常由三类组成:

平台即服务(PaaS),它为客户提供了一个开发,管理和运行应用程序的平台,而无需构建和维护基础架构;

基础架构即服务(IaaS),可通过Internet提供虚拟化的计算资源,例如位置,数据分区,安全性,备份和扩展;和

软件即服务(SaaS),可按需提供应用程序和软件。

毫无疑问,云环境提供了多种类型的存储解决方案,每种存储解决方案都有其自身的局限性和优势,并基于数据的需求和可用性。

数据云存储中的威胁和问题

可以说数据存储是云计算最重要的组成部分,这就是为什么分布式计算上的数据安全性始终是一个大问题。有关云存储的安全问题很多;下面列出了一些最流行和最严重的问题:

匿名性:在云数据存储中,匿名性是一种使发布的数据和关键信息模糊不清的技术,可防止数据所有者的关联身份。但是,数据匿名具有不同的漏洞,如对手威胁的隐藏身份,重新识别或去匿名过程中的漏洞。

帐户或服务流量劫持:通常是使用被盗凭证执行的,仍然是头号威胁。利用被盗的凭据,攻击者通常可以访问已部署的云计算服务的关键区域,从而使他们能够破坏这些服务的机密性,完整性和可用性。诸如利用软件中的漏洞之类的各种弊端,例如盗窃密码/凭据,缓冲区溢出攻击以及网络钓鱼攻击,都可能导致用户帐户失去控制。这可能导致黑客获得对用户帐户的控制权,并窃听交易,处理数据和/或将客户重定向到竞争对手的网页或不适当的网站。

可用性:云服务的主要目标还在于为客户端提供高可用性。其重点是确保用户可以随时随地获取信息。可用性不仅指软件,还应根据授权用户的需求提供硬件。在负载平衡支持并在许多服务器上运行的多层体系结构中,基于网络的攻击(例如DoS或DDoS攻击)可以轻松实现。由于网络中发生洪泛攻击,因此云存储缺少可用性属性。存储系统中的恶意内部人员可能也是一个大问题。

数据丢失和泄漏:数据泄漏是侵入性操作的结果,当磁盘驱动器在没有创建任何备份的情况下死亡时,可能会发生数据丢失。这是隐私,信任的丧失,并且直接影响SLA策略,这是云用户最关注的问题。

密码学:当采用安全措施时,密码机制通常似乎失效。在云中,应用了加密技术来克服安全领域中的漏洞。但是,诸如RSA中大量素数分解和ECC中离散对数问题以及错误实现等挑战可能会导致暴力攻击。密钥管理不善,计算效率低,可验证的数据也是与云加密有关的其他问题。

完整性和机密性问题:完整性是信息系统中最关键的元素,目的是保护数据免遭未经授权的修改,删除或更改。当出于恶意目的使用错误定义的安全参数或错误配置的VM和虚拟机管理程序时,就会出现安全问题。云的多租户性质可能会导致完整性和机密性受到侵犯,因此增加用户数量会增加安全风险。一些知名的完整性攻击包括中间人(MIM)攻击,会话劫持,数据欺​​骗攻击,密码,数据包嗅探和社会工程攻击,并且可能严重影响信息的机密性。

恶意软件和蠕虫:涉及一种电子犯罪攻击,用于将恶意软件注入称为“僵尸网络”的云存储中,从而将它们转变为“僵尸”,旨在攻击大型网络服务器的计算机。

推论:推论是一种数据库系统技术,用于攻击数据库,在这些数据库中,恶意用户会从复杂数据库中高层推断敏感信息。它只是意味着使用数据挖掘技术查找对普通用户隐藏的信息。

可以做什么?

渴望使用云计算来运行其内部应用程序的质量保证从业人员和组织必须修改其软件开发方法,并应关注有助于设计编程标准以及采用多租户和安全功能的关键点。可以遵循三层结构(应用程序级别,云服务中间级别和基础架构级别):

应用程序级别:此级别的安全性关注点是端到端,云系统需要具有通用的安全性才能实现端到端的可见性以及对云系统中数据,身份和应用程序的控制。但是,在应用程序级别,企业数据以及其他组织数据都存储在SaaS提供程序数据中心中。此外,云提供商可能会在全球多个位置复制数据以保持高可用性。这就是为什么毫不奇怪的是,诸如Google App,Amazon和Elastic Compute Cloud(EC2)之类的云供应商都要求管理员使用其各自的加密算法和强大的Secure Shell(SSH)来访问主机。恶意程序可以轻易利用数据安全模型中的漏洞进行未经授权的访问。

服务中间件级别:中间件可以描述为胶合软件,它使软件开发人员可以更轻松地在云环境中执行通信。如今,随着中间件的重要性增加,安全挑战也越来越多。其中的一些问题包括协议标准安全性,用户身份验证和概念化,中间件信任,服务信誉和法规,加密解决方案,垃圾邮件监听和监听。

基础架构级别:云基础架构可以管理计算机功能,例如性能,带宽和存储访问。应在基础架构级别提供安全高效的云身份验证过程和用户​​抽象。所有一起工作的虚拟机都应相互认证,并且还应具有良好的机器可用性管理。在促进虚拟专用网(VPN)的同时,云系统的安全风险包括按需资源可用性和机器对机器性能监视。

云计算提供了许多优势,按需,可扩展的资源和基于IT的解决方案,而无需投资于新的基础架构。尽管具有这些功能,但是存储的安全性是该技术面临的关键点。每个质量检查测试人员在通过云计算使用协助时都应牢记这些问题和威胁。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
Top