云数据存储: 每个质量保证测试人员都应该知道的问题和威胁

当今业务需求的挑战使每个质量保证 (QA) 测试人员都考虑如何利用云作为基础架构，平台甚至软件。在线协作解决方案、web 2.0应用程序、数据库、存储和QA/DEV环境是典型的云使用案例，多年来变得越来越重要。随着这些用例的重要性日益提高，了解QA测试人员面临的问题和威胁也变得非常重要，尤其是在使用云数据存储的测试环境中。

让我们深入研究这一点，并了解数据是如何存储在云中的; 它们的生命周期; 它们是如何安全的; 以及关于云存储的安全性问题。

云计算和云数据存储

我们知道，云计算是一组由远程服务器执行的 “远程处理”，随时随地可用。它通常由三类组成:

平台即服务 (paaS)，它为客户提供了一个平台来开发，管理和运行应用程序，而无需构建和维护基础设施的复杂性; 基础设施即服务 (IaaS)，通过internet提供虚拟化计算资源，例如位置，数据分区，安全性，备份和扩展; 以及按需提供应用程序和软件的软件即服务 (SaaS)。

毫无疑问，云环境提供了不同类型的存储解决方案，每种解决方案都有自己的局限性和优势，并基于数据的需求和可用性。

数据云存储中的威胁和问题

可以说，数据存储是云计算最重要的组成部分，这就是为什么数据在分布式计算上的安全性始终是一个大问题。关于云存储有很多安全问题; 下面列出了一些最普遍和最严重的问题:

匿名: 在云数据存储中，匿名是一种隐藏已发布数据和关键信息的技术，以防止数据所有者的关联身份。但是，数据匿名具有不同的漏洞，例如对手威胁的隐藏身份，重新识别或去匿名过程中的漏洞。

帐户或服务流量劫持: 通常使用被盗的凭据执行，并且仍然是最大的威胁。通过被盗的凭据，攻击者通常可以访问已部署的云计算服务的关键区域，从而使他们能够损害这些服务的机密性，完整性和可用性。各种不当行为，例如利用软件中的漏洞，例如密码/凭据被盗，缓冲区溢出攻击以及网络钓鱼攻击，都可能导致对用户帐户的失控。这可能导致黑客获得对用户帐户的控制，并窃听交易、操纵数据和/或将客户重定向到竞争对手的网页或不合适的网站。

可用性: 云服务的主要目标也是为客户端提供高可用性。它的重点是确保用户可以随时随地获取信息。可用性不仅指软件，而且还提供硬件作为授权用户的需求。在负载平衡支持并在许多服务器上运行的多层体系结构中，基于网络的攻击 (例如DoS或DDoS攻击) 可以轻松实现。由于网络中的泛洪攻击，云存储缺乏可用性属性。存储系统中的恶意内部人员也可能是它的一个大问题。

数据丢失和泄漏: 数据泄露是侵入性操作的结果，当磁盘驱动器在没有创建任何备份的情况下死亡时，可能会发生数据丢失。这是隐私，信任的损失，并直接影响SLA策略，这是云用户的主要关注点。

密码学: 当应用安全措施时，密码机制通常似乎会失败。在云中，应用密码技术来克服安全领域的漏洞。但是，诸如RSA中大数的质因数分解和ECC中的离散对数问题以及错误的实施等挑战可能会导致蛮力攻击。密钥管理差，计算效率，可验证的数据也是与云密码学有关的其他问题。

完整性和机密性问题: 为了保护数据免受未经授权的修改，删除或更改，完整性是信息系统中最关键的要素。当错误定义的安全参数或错误的conpd虚拟机和虚拟机管理程序被恶意使用时，就会出现安全问题。云的多租户性质可能导致违反完整性和保密性，因此增加用户数量会增强安全风险。一些众所周知的完整性攻击包括中间人 (MIM) 攻击，会话劫持，数据挖掘攻击，密码，数据包嗅探和社会工程攻击，并可能严重影响信息的机密性。

恶意软件和蠕虫: 这涉及电子犯罪攻击，将恶意软件注入名为 “僵尸网络” 的云存储中，将它们变成旨在攻击更大网络服务器计算机的 “僵尸”。

推论: 推理是一种用于攻击数据库的数据库系统技术，恶意用户从高级别的复杂数据库中推断出敏感信息。它仅意味着通过使用数据挖掘技术查找对正常用户隐藏的信息。

可以做什么？

热衷于使用云计算运行其内部应用程序的QA从业人员和组织必须修改其软件开发方法，并应关注有助于设计编程标准以及采用多租户和安全功能的关键点。可以遵循三层 (应用程序级别，云服务中级和基础架构级别) 的结构:

应用级别: 此级别的安全问题是端到端的，云系统需要具有共同的安全性，以实现对云系统中数据、身份和应用的端到端可见性和控制。但是，在应用程序级别上，企业数据以及其他组织数据存储在SaaS提供商数据中心。此外，云提供商可能正在全球多个位置复制数据，以保持高可用性。这就是为什么难怪谷歌应用、亚马逊和弹性计算云 (EC2) 等云供应商要求管理员使用他们的inpidual加密算法和强大的安全外壳 (SSH) 来访问主机。恶意程序可以很容易地利用数据安全模型中的漏洞进行未经授权的访问。

服务中间件级别: 中间件可以描述为粘合软件，使软件开发人员更容易在云环境中执行通信。如今，随着中间件重要性的提高，安全挑战也随之增加。其中一些问题包括协议标准安全性，用户身份验证和概念化，中间件信任，服务信誉和法规，加密解决方案，垃圾邮件监听和嗅探。

基础设施级别: 云基础架构可以管理计算机功能，例如性能，带宽和存储访问。应在基础架构级别提供安全高效的云身份验证过程和用户抽象。所有一起工作的虚拟机都应该相互认证，良好的机器可用性管理也应该可用。在促进虚拟专用网络 (VpN) 的同时，云系统面临的安全风险是按需资源可用性和机器对机器性能监控。

云计算提供了许多优势，按需，可扩展，资源和基于IT的解决方案，而无需投资新的基础架构。尽管具有这些功能，但存储的安全性是该技术面临的关键点。每个质量检查测试人员在通过云计算使用帮助时，都应牢记这些问题和威胁。