云应用脆弱性评估

Question

当应用程序托管在像Amazon这样的云上时，您认为服务器端应用程序评估很重要吗？

对用于托管应用程序的软件进行评估，而不是实际应用程序，例如使用nessus或nexpose对nginx used服务器进行评估。这个软件的安全性应该由Amazon来负责。如果在nginx中存在任何漏洞，那么安全问题应该与Amazon有关，而不是实际的应用程序。请澄清我的疑虑。我的方法正确吗？

Answer 1

虽然亚马逊已经对其服务器进行了适当的配置测试，并进行了全面的安全审计，但您真的想通过不亲自测试来危及您的操作稳定性和安全性吗？

更大的问题是，如果你有任何值得保持安全的东西，你为什么要使用“云”呢？云计算带来的唯一积极之处在于它很便宜。您所听到的关于改善正常运行时间的一切都是错误的--只需看看有多少个主要站点由于S3中断而停机。然后，从安全的角度来看，您会遇到以下问题：

• 你是在把责任外包给别人，而不是责任。Amazon没有与您签订合同，以一种适用于您的方式提供足够的安全测试，特别是作为一个客户。你可以把你喜欢的安全故障归咎于他们，但他们不会在合同上承担责任。
• 你是在把事故反应交给另一家公司。如果你被黑客入侵的话，你绝对没有机会获得完整的磁盘图像，这将在法庭上站稳脚跟。亚马逊不具备向客户提供法医级拷贝和日志的资源、意愿或法律影响力。
• 一旦您将数据放到云上，它就会甚至可能不再是你的了。包括美国在内的各国政府已经通过了一项立法，规定“云”数据不再具有所有权，可以被拿走或删除。

真正的安全和竞争的正常运行时间需要钱。如果您希望获得适当的安全性和较高的正常运行时间，请获得一个具有SLA的专用服务器，并由合格的安全测试人员对整个堆栈进行测试。