安全小白成長記
2
信息安全等級高級測評師
CISP-PTE
安全小白成長記2
信息安全等級高級測評師
CISP-PTE
安全云平臺頂層應用軟件PaaS用戶需要注意以下這些:
理解內嵌于云平臺的安全功能。安全微服務對集裝化(包括管理程序)、密碼算法庫、DevOps(自動化軟件生命周期管理)工具以及運行時環境的支持必須經過認真評估。很多云平臺提供商都會發布產品簡介,其中包含了安全特性說明。建議將云平臺安全評估作為平臺選擇標準的一部分來使用。
堅持保護軟件開發生命周期(Software Development Life Cycle,SDLC)指南,例如,威脅建模、攻擊面評估以及對數據和服務隔離負責。
利用OWASP安全編碼實踐(OWASP Secure Coding Practices,OWASP-SEC)和SEI CERT前10項安全編碼實踐來實現安全編碼(SEI-SEC)。
利用API運行時工作流程分析來實現安全應用接口。用于API管理的CSCC云用戶架構提供了保護API方面的額外指南(CSA-API)。實現密碼組件以對敏感IO進行加密,同時實現身份與訪問控制。
實現WAF以檢測和防御惡意流量,確保平臺支持部署方案和生產環境之間的嚴格隔離。
進行攻擊面復審、靜態分析以及窮舉測試,包括模糊和滲透測試、Web應用掃描以及針對所支持平臺(包括固定和移動)的系統測試。
推薦文章
