可重用云工具彌補(bǔ)應(yīng)用安全問(wèn)題
“所有的這些工作對(duì)于安全來(lái)說(shuō)都很必要����,但這并不是應(yīng)用功能的核心����,”Hazlewood說(shuō)��,“并且��,因?yàn)檫@些自定義代碼并不強(qiáng)大��,而且不能被多個(gè)應(yīng)用程序使用�����,開(kāi)發(fā)人員通常為他們建立的每個(gè)應(yīng)用重寫相同的代碼���,進(jìn)一步加劇了開(kāi)發(fā)成本�。”一旦實(shí)現(xiàn)���,這些從零開(kāi)始編寫的代碼通常就會(huì)被忽略并且很少更新���,可能隨著時(shí)間的推移就會(huì)出現(xiàn)安全漏洞。
Hazlewood啟動(dòng)Apache Shiro項(xiàng)目,創(chuàng)建一個(gè)用于認(rèn)證���、授權(quán)�、加密和會(huì)話管理的開(kāi)放源代碼的Java安全框架���。
“Shiro強(qiáng)大了�,”Salazar說(shuō)�����。即便如此����,Hazlewood仍然發(fā)現(xiàn)一個(gè)問(wèn)題:安全框架只解決了部分的認(rèn)證訪問(wèn)控制問(wèn)題,因?yàn)榭蚣転榱送瓿伤麄兊墓ぷ?���,仍然不得不與后端系統(tǒng)對(duì)話,如Active Directory或LDAP����。當(dāng)構(gòu)建基于云的應(yīng)用程序時(shí),然而����,沒(méi)有Active Directory或LDAP,因此他仍然不得不反復(fù)地重塑那一部分���。
Hazlewood說(shuō)�����,在公有云中���,傳統(tǒng)的網(wǎng)絡(luò)安全策略并不適用,而且任何安全漏洞可能被迅速利用����。這個(gè)缺陷與索尼PlayStation Network 、LinkedIn��、Last.FM����、雅虎和最近的Twitter相比,成本明顯很高����。
Hazlewood說(shuō):“大多數(shù)開(kāi)發(fā)團(tuán)隊(duì)的員工沒(méi)有足夠的安全專業(yè)知識(shí),所以當(dāng)將他們的應(yīng)用程序部署到公有云時(shí),他們冒著非常高的風(fēng)險(xiǎn)”����。Salazar表示同意,“云日漸成為應(yīng)用程序的爭(zhēng)議平臺(tái)���。”
Hazlewood不知道Salazar也在云中間件軟件領(lǐng)域處理著同樣的問(wèn)題���,現(xiàn)有的工具有單點(diǎn)登錄功能,這些功能對(duì)于在云中構(gòu)建新的應(yīng)用程序是不夠的���。“當(dāng)將Salesforce與其他產(chǎn)品集成時(shí)���,單點(diǎn)登錄是很好的,但對(duì)于你自己的自定義應(yīng)用卻并非如此����,”Salazar說(shuō),“我看到每個(gè)人在構(gòu)建定制云應(yīng)用都很痛苦�����,以及非常具體應(yīng)用程序����、手機(jī)的應(yīng)用程序���、客戶應(yīng)用程序���、伙伴應(yīng)用程序等等��。”
Salazar叫Hazlewood來(lái)解決他的技術(shù)驗(yàn)證的問(wèn)題����。“他開(kāi)始笑了�,因?yàn)樗谧鱿嗤氖虑椋?rdquo;Salazar說(shuō),“我說(shuō)�����,‘好吧����,讓我們談?wù)勔恍┛蛻簟^o掉工作并創(chuàng)辦一個(gè)公司���。’”
作為開(kāi)放源代碼軟件的支持者�,他們第一次計(jì)劃發(fā)布他們的工具作為開(kāi)放源代碼的產(chǎn)品,使用典型的開(kāi)放源代碼的商業(yè)模式�。在探索性研究中,他們發(fā)現(xiàn)���,對(duì)于那些擁有內(nèi)部安全與發(fā)展團(tuán)隊(duì)的大企業(yè)來(lái)說(shuō)����,開(kāi)放源代碼交付效果很好���,但是那些小型和中型企業(yè)(SMB)卻效果不佳���。如必要的話,大公司有能力 DIY����,但是他們卻很歡迎可重用、內(nèi)部的解決方案�。大多數(shù)中小企業(yè)沒(méi)有DIY的安全團(tuán)隊(duì)或內(nèi)部專業(yè)。“顯而易見(jiàn)��,云交付是中小企業(yè)交付路線��,”Salazar說(shuō)���,“中型企業(yè)不想做安全管理�����,他們擔(dān)心修補(bǔ)數(shù)據(jù)庫(kù)服務(wù)器和運(yùn)行最新的副本�����。他們只是想要一個(gè)隨需應(yīng)變的API”���。
開(kāi)發(fā)人員構(gòu)建新的應(yīng)用程序,Stormpath提供自動(dòng)化安全工作流的服務(wù)��,啟用身份驗(yàn)證服務(wù)�����、訪問(wèn)控制和更多服務(wù)���,Hazlewood說(shuō):“因此開(kāi)發(fā)人員可以回去寫代碼了”����。如認(rèn)證����、密碼重置和電子郵件帳戶驗(yàn)證這樣的工作��,每一個(gè)都需要一個(gè)單一的REST調(diào)用��。Salazar說(shuō):“沒(méi)有數(shù)據(jù)建模��,沒(méi)有代碼����,沒(méi)有UI��,也沒(méi)有那些”�。語(yǔ)言庫(kù)使Java、PHP和Rubydevelopers不必了解REST和JSON�����。
“沒(méi)有人喜歡一遍又一遍地構(gòu)建安全性�,” Salazar說(shuō),“這是應(yīng)用程序的關(guān)鍵�����,但它并不是核心;建立業(yè)務(wù)邏輯才是核心�。”他們繼續(xù)探索可重用應(yīng)用安全解決方案���,對(duì)于Salazar和 Hazlewood來(lái)說(shuō),接下來(lái)的一步是建立更多的Stormpath軟件開(kāi)發(fā)者工具包并擴(kuò)展開(kāi)發(fā)語(yǔ)言和平臺(tái)支持��。
