应对 Web 范围成功所面临的五大安全威胁

在 Web 上发展业务，对于从金融服务机构到社交网络站点的各种公司来说，都变得极为重要。其吸引力非常容易理解：在 Web 范围内扩大服务，由于可接触到包含数百万用户的社区，因而会产生巨大竞争优势。

然而这些部署的巨大接触范围同时会带来互联网的负面影响。站点或服务越普及，对潜在攻击者的吸引力就越大。为了找出 Web 范围部署的最大弱点，Sun Inner Circle   最近向 Sun 公司全球销售和服务器安全办公室的两名安全专家寻求帮助：著名工程师 Glenn Brunette 和主任工程师 Rafat Alvi。

“在易用性、性能与安全性之间找到恰当平衡对于 Web 范围成功至关重要，” Brunette 指出。“就某些方面来看，让人感到庆幸的是，许多安全问题属于长期存在的问题 ，因为这些问题已为人们所熟知。不过，由于 Web 范围部署通过不断发展的提供方法接触到那么多人，因而长期存在的安全问题会呈现新的形式。”

通过一次深入的谈话，Brunette 与 Alvi 介绍了为确保 Web 范围部署安全而必须消除的五种威胁。“这五个方面的威胁并不一定覆盖使 Web 范围部署安全所需的一切，但我们的威胁清单可作为一份关于需要避免什么以及如何避免的快速指南，” Alvi 说。

Brunette 指出，在不断改进的基础上快速进行软件开发是 Web 范围部署的一个特点。“使软件永久处于测试之中经常用来执行 Web 服务上堆积的特性和功能中的最难执行的部分，” 他说。“当在不对安全问题进行全面考虑的情况下设计服务和代码更新的早期版本时，这会成为一个问题。攻击者不会等到软件完全成熟才采取攻击行动。”

“在这些情况下，经常测试程序以确保它们在理想 （而非相反） 的情况下工作,” Alvi 说。“像缓冲器过载、SQL 注入和跨站点改写脚本这样的熟悉的攻击基于不要频繁编写软件来顺利处理例外情况的这一前提。”

从经得起时间考验的构件和模式做起对于 Web 范围的成功极为重要，Brunette 和 Alvi 指出。“这就是 NetBeans 和 Sun Java Studio Enterprise 中发现的安全的、可复用库和模块对于始终如一地开发安全的应用程序来说如此重要的原因，” Brunette 指出。“基于重视安全性的社区的贡献的开放源框架通常是应用程序开发的较好的选择方案。我不由得思考什么会胜过像 JUnit 和 JsUnit 这样的良好安全测试和自动化工具的经得起时间考验的原则。”

“每项基于 IT 的服务都有自己的安全含意，Web 范围部署也不例外，” Alvi 继续说道。“没有任何事情存在于真空之中，而开发人员需要问问其基于 Web 的新的产品是否安全，以及如果这些产品受到破坏，对整个 IT 行业的影响如何。”

一旦汇编在一起，必须把这些服务安装在可以访问到的位置。这通常意味着允许通过传统防御措施 （如网络防火墙） 进行访问。Brunette 和 Alvi 建议采取一种整体的威胁管理方法，这种方法包括监测和阻止基于 Web 的攻击的应用层保护。其中一些可能性包括 XML 网关供应商 （如 Layer 7 科技公司） 提供的产品，他们指出。

“防御性软件开发无可替代，但这些产品对于实施深度防御架构来说非常有效，” Brunette 指出。

安全性如何才能跟得上可能包含数百万人的用户群的期望值？“一旦一个机构确定其 Web 应用程序可以扩展身份管理就成为确保安全性与 Web 范围扩展相一致过程中的下一个步骤，” Alvi 说。“安全性的这一不断发展的性质是开发 Sun 身份管理工具中的一个主要设计考虑事项。”

Alvi 指出，Sun 公司多种工具使机构可以快速管理、预配置和审核 Web 范围部署。例如，Sun Java 系统身份管理器使管理员能够在数日 （而不是数周） 内在多个系统之间映射用户和访问权限。“ 确保安全性随 Web 服务和用户身份增加而扩展还需付出很多努力，” Alvi 说。

“Sun 角色管理器也值得一提，因为它有助于机构通过一个连接业务和 IT 流程的通用的词汇表发现、定义和管理用户访问，” Brunette 说。“它还有助于改进 Web 范围部署中执行有效的 IT 管理方法，而在此类部署中，必须管理和审核大型用户社区的访问权限。”

Brunette 和 Alvi 指出，Sun Java 系统访问管理器通过作为多达数千万用户的单一入口点促进 Web 范围部署顺利进行。为了保护每个单点登录实例的安全，新版 Sun Java 系统管理访问器集中管理安全策略。

这意味着可以将基于角色的规则和策略指定到特定用户类别。为了将一切都连接在一起， Sun Java 系统目录服务器可作为用户和授权信息的一个安全存储库。

“过去无法从外部访问的信息现在可以从任何位置进行访问，而且通常可以通过多种设备进行访问，” Alvi 指出。“这是一项绝佳的发展，但是将旧的、新的和不相关的环境连接起来会使潜在安全挑战倍增。而且当互连的系统和设备由不同方拥有时，这项发展还会导致信任问题。”

”这就是身份联合功能应成为资源充足的 Web 范围安全军械库的组成部分的原因,” Brunette 补充道。 “这些功能内置到适用于 Web 环境的 Sun Java 系统访问管理器之中。而且，为了让各方均可访问信息，Sun 访问管理器将像 Spoke 这样的各个信息孤岛连接到一个网络中枢。各方之间的清晰的合同语言仍然不可替代。任何联合方案都必须取决于合作伙伴之间的周密编制的法律合同和政策。”

"这个世界日益成为一个基于 Web 的世界, 但说它仅仅是一个基于 Web 的世界也是不现实的," Alvi 说。" 多数公司最终需要将 Web 范围服务的速度和灵活性与原有环境的的可靠性、一致性、管理方法和安全性相平衡 ，而且这要求把各个点都连接起来。"

Web 2.0 的读写功能 （通常称为 “聚合” ) 允许跨环境集成像 Ajax 和 Atom 这样的协议。Brunette and Alvi 指出，这些功能也使客户机和服务器容易受到轻易通过传统防火墙发生的攻击。

“自助更新 Web 内容的趋势有利也有弊，” Brunette 指出。 “通过允许访问、执行和聚合客户端的内容，打开了一扇新的大门，攻击者通过该大门可诱骗用户运行进入公司网络的恶意代码。”

例如，Ajax 允许浏览器从一个浏览器异步发出 JavaScript 调用。但从不受信任的站点下载 JavaScript 使攻击者可以在浏览器上执行恶意的 Ajax 调用。这样一来，结果产生的跨站点脚本改写攻击就能够拦劫用户帐户、发动网上诱骗以及在用户系统上运行恶意程序。

Brunette 说针对此类威胁的最佳防御措施往往是良好的攻击途径。 “ 指导您的用户了解访问未知站点的危险并确保客户端 (包括台式机、PDA 和移动电话) 具有抵御上述攻击的安全保护措施。 具有抵御上述攻击的安全保护措施。同时还要确保实施到位一个深度防御架构 — 这样的架构必须能够经得起时间的考验。”

“当然，运行任何操作系统的用户都可以利用 Sun 安全全球桌面软件安全地访问台式机和应用程序，” Alvi 说。“通过虚拟化桌面访问，企业可以减少会受到攻击的目标。进而对 Sun Ray 台式机客户端采取措施，这种整体方法消除了始终容易受到攻击的个别目标。”

此外，Alvi 进一步指出，可以将 Solaris 可信扩展版与 Sun Rays 一起使用，以便强化访问控制策略，这样可以增进灵活性并便于访问公司 IT 资源。

“尽管 Web 范围部署可能似乎像全新的环境，但许多安全问题应该非常熟悉，” Brunette 说。 “ Web 服务的基础需要经得起时间考验的安全保证，例如，系统、网络、存储和服务中的身份验证、授权、保密、诚实以及审核。如果这些因素没有到位，安全就得不到保证。”

“这就是一个综合策略、方法论、架构和产品的系统性安全方法对于 Web 服务至关重要的原因，因为这些环境强大程度并不比它们的最薄弱环境高多少，” Alvi 补充道。 “ Web 范围环境不会持久地保持正常运行，除非它们有一个安全的基础。”

Brunette 和 Alvi 指出，Solaris 10 操作系统的许多功能有助于提供这一安全基础。例如，它们指出 Solaris 容器中的区域和特权如何将特定种类的数据分开，这使部署 Web 服务的公司可以使关键资产不会引起不必要的关注。

Alvi 指出，内置安全功能的工作负载含意应成为 Web 服务安全的另一个关键考虑事项。 “当我想到出于性能和相应时间考虑不得不频繁关闭安全功能时就会发抖,” 他说。 “这就是 UltraSPARC T2 处理器的嵌入式加密设计发挥作用的地方。通过减轻对协处理器的加密工作负载，这些芯片组确保不会因性能而牺牲安全性。”

此外，Brunette 和 Alvi 指出，提高解析 XML 速度的专门处理技术会间接地增强 XML 消息签名和加密的安全性。需要考虑的技术包括 Sun 公司的快速信息集 (Fast Infoset) 技术和像 Layer 7 技术公司这样的供应商提供的设备。

“硬件和操作系统的选择在安全地扩展 Web 服务方面至关重要，” Brunette 指出 “ 但是，安全性比产品和技术还重要。最佳做法、培训 、教育、流程和策略都在 Web 范围内部署应用程序发挥重要作用。”

Bob Worrall
Sun 公司首席信息技术官