云计算的安全测试

云计算的安全测试云计算的安全测试云计算的安全测试云计算的安全测试南京翰海源信息技术有限公司南京翰海源9/6/2006南京翰海源什么是安全测试什么是安全测试什么是安全测试什么是安全测试南京翰海源提升代码自身安全性在测试环节控制代码安全质量改进安全开发过程9/6/2006南京翰海源安全测试关注安全测试关注安全测试关注安全测试关注南京翰海源9/6/2006南京翰海源安全测试与渗透测试安全测试与渗透测试安全测试与渗透测试安全测试与渗透测试南京翰海源9/6/2006南京翰海源南京翰海源安全测试覆盖要素安全测试覆盖要素安全测试覆盖要素安全测试覆盖要素安全包括了三个层次◦安全功能（特性）◦安全策略（部署，配置，全局设计准则）◦安全实现安全测试是对以上几个层次的验证和度量外部防护系统是一种补充保护9/6/2006南京翰海源翰海源安全测试方法翰海源安全测试方法翰海源安全测试方法翰海源安全测试方法南京翰海源9/6/2006南京翰海源视角视角视角视角自身安全性差的系统单纯依赖外部防护难以解决安全问题提高自身安全性解决安全问题的性价比最高越复杂的系统越需要改进自身安全性南京翰海源9/6/2006南京翰海源SaaSSaaSSaaSSaaS云计算模式云计算模式云计算模式云计算模式用户之间的安全边界靠云计算来保证复杂的应用软件增加了应用软件的复杂性个人-〉软件个人-软件-SaaS南京翰海源9/6/2006南京翰海源PaaSPaaSPaaSPaaS云计算模式云计算模式云计算模式云计算模式开发的业务平台接口API增加了云计算提供商的风险个人-〉业务平台个人-〉业务平台-〉PAPI-〉PaaS南京翰海源9/6/2006南京翰海源IaaSIaaSIaaSIaaS云计算模式云计算模式云计算模式云计算模式南京翰海源聚合大量物理主机通过虚拟化细分资源云操作系统实施复杂的调度并提供资源给不同的服务服务-〉物理主机资源服务-〉虚拟主机-〉云OS-〉物理主机资源9/6/2006南京翰海源云计算复杂性云计算复杂性云计算复杂性云计算复杂性内部复杂度层次更复杂攻击界面增多数据与业务计算高度集中客户高度分散安全功能？安全策略？安全设计？安全实现？南京翰海源9/6/2006南京翰海源云计算攻击界面云计算攻击界面云计算攻击界面云计算攻击界面:SAAS:SAAS:SAAS:SAAS南京翰海源9/6/2006南京翰海源云计算攻击界面云计算攻击界面云计算攻击界面云计算攻击界面:PAAS:PAAS:PAAS:PAAS南京翰海源9/6/2006南京翰海源云计算攻击界面云计算攻击界面云计算攻击界面云计算攻击界面:IAAS:IAAS:IAAS:IAAS南京翰海源9/6/2006南京翰海源云计算安全测试云计算安全测试云计算安全测试云计算安全测试定义云计算安全风险与云计算安全度量标准实施云计算威胁建模云计算安全功能测试云计算安全策略测试云计算安全设计测试云计算安全实现测试南京翰海源9/6/2006南京翰海源云计算威胁建模云计算威胁建模云计算威胁建模云计算威胁建模云计算复杂的数据流程◦分层体系与数据流◦对象客体与权限云计算新增的安全风险与威胁◦新威胁类型和可能的方式◦新威胁映射到数据流◦应对新威胁的安全功能与安全策略南京翰海源9/6/2006南京翰海源云计算安全功能测试云计算安全功能测试云计算安全功能测试云计算安全功能测试云计算需要的安全功能◦鉴别◦加密◦隔离◦重用保密◦隐私保护◦数据存储与保护◦……云计算的安全功能测试南京翰海源9/6/2006南京翰海源云计算安全策略测试云计算安全策略测试云计算安全策略测试云计算安全策略测试云计算需要的安全策略◦配置◦部署◦……云计算的安全策略测试南京翰海源9/6/2006南京翰海源云计算安全设计测试云计算安全设计测试云计算安全设计测试云计算安全设计测试云计算需要的安全设计◦体系◦防护机制◦……云计算的安全设计测试南京翰海源9/6/2006南京翰海源云计算代码云计算代码云计算代码云计算代码安全安全安全安全实现测试实现测试实现测试实现测试云计算需要的代码安全实现测试◦攻击界面◦数据污染传递与渗透传递◦威胁类型◦……云计算的代码安全实现测试南京翰海源9/6/2006南京翰海源关于翰海源关于翰海源关于翰海源关于翰海源首家专注于安全测试的厂商专业的安全测试产品与技术◦安全测试过程与方法◦起航：黑盒FUZZ安全测试◦追踪：二进制动态数据流安全测试◦问天：全局数据结构安全测试南京翰海源