根據雲端安全聯盟(CSA,非營利組織,致力於雲端運算安全保證最佳實務)建議,在此特殊環境內,鞏固軟體安全的終極方法必須兼俱技術性與策略性。以下說明建議的細節:
若您需要完整版的建議內容,請參考CSA的《Security Guidance for Critical Areas of Focus in Cloud Computing V2.1》報告。
因此:
企業究竟應如何確實保護雲端環境內的應用程式?
若要保護基礎設施軟體,雲端服務供應商的Know-how為何?
以及聰明建置雲端的必備條件為何?
有一個新的軟體安全措施,不僅可回答上述問題,還是實現雲端效益的關鍵,那就是軟體安全保證,或簡稱「SSA」。SSA是一個風險管理、成本效益的方法,其中包含了三個基本步驟,確保企業採用雲端時軟體的安全:
形成SSA概念的關鍵是建立一套「安全關卡」機制,以系統化方式依照它的風險定義來接受或拒絕該應用軟體。由於風險定義由軟體控管的資產,以及它操作的內部環境來決定,因此組織可明確決定,如何以適當的方式,將應用程式部署至不同的雲端環境內。雲端供應商可以藉由提供服務來協助評估應用程式是否已「雲端就緒」,並且引導客戶設定合適的部署。雲端供應商可藉由禁止弱點應用程式污染他們共用的基礎設施的方式獲得好處。通過 SSA,雲端消費者與供應商可以有信心地使用雲端運算。
「對於即將前往雲端運算環境的公司,第一個關注點幾乎都是『安全性』;然而,大部份的組織卻未考慮到在雲端使用不安全軟體的影響。Fortify的領導能力和專業知識可以協助組織建立指引與溝通方法來擁抱雲端的軟體安全。」
雲端安全聯盟 執行董事Jim Reavis
Fortify帶來了實務中豐富的客戶部署經驗及異質平台環境,不管是在自己的資料中心內部或在雲端環境,皆能協助客戶評估與降低應用程式弱點所衍生出的風險。此外,Fortify也引進了一種新的專屬雲端產品能力,提供企業、政府機構及雲端供應商評估應用程式部署到共享的基礎設施是否已「安全就緒」。這項能力主要的效益是能帶給客戶改進認知、以及雲端軟體安全風險的控制措施。這些新的雲端安全能力包含底下四個部份:
獲獎的Fortify 360與Fortify on Demand兩項產品在雲端安全功能是立即可用的,而兩者也共用一個安全架構。Fortify 360可以在內部使用重大問題分析、修復問題與可識別問題的管理能力、移除問題以及預防安全弱點的「軟體安全保證(SSA)」模組。Fortify on Demand則是業界第一個用來測試雲端安全相關問題的SaaS軟體安全解決方案,且提供計分卡,雖與Fortify 360的功能相同,但它是一種隨選服務。
Fortify 360與Fortify on Demand兩者皆採用了Fortify業界最先進的靜態安全分析測試(SAST)技術,可以識別超過459種(譯著:按原文出刊時數據為440種) 以上的安全弱點,橫跨18種程式語言與平台,以及辨別超過68萬(譯著:按原文出刊時數據為60萬)個APIs。Fortify SAST的技術已擴展至能辨識衝擊安全與移植至雲端時有關的雲端問題,特別是與系統環境有關、不安全的資料儲存、日誌有關的基礎設施等方面。Fortify 360也內含創新技術,可在動態安全分析測試(RAST)時減少漏洞,可以用來監視正在雲端上執行的應用程式。
Fortify以活躍會員的身份在雲端安全聯盟(CSA, www.cloudsecurityalliance.org)中支援雲端安全計劃。CSA的基本使命是提供使用雲端運算的教育訓練,並協助提供所有型式的雲端運算安全。這項計畫結合業界的從業人員、公司法人、協會組織與其它主要的利益相關者。
Fortify不僅貢獻SSA經驗且全力配合業界安全領域領導者一起驅動雲端安全意識;公司也捐贈雲端運算的軟體安全最佳實務的相關倡導經驗,例如:提供給聯盟相關報表、專注雲端的重要領域之安全指引。
Fortify的商業軟體保證(Business Software Assurance)方案可以保護企業與組織免於現今最大的安全風險:執行商業行為的應用程式軟體。Fortify減少大量財務損失的威脅及損害聲譽的風險,且能確保公司遵循政府和產業的法規。Fortify的客戶遍及政府組織與全球2000大的各行各業:財務服務、醫療、電子商務、通訊、出版、保險、系統整合與資訊科技業。欲進一步瞭解資訊,請上www.fortify.com網站。