可重用云工具彌補(bǔ)應(yīng)用安全問(wèn)題
“所有的這些工作對(duì)于安全來(lái)說(shuō)都很必要,但這并不是應(yīng)用功能的核心�����,”Hazlewood說(shuō)���,“并且��,因?yàn)檫@些自定義代碼并不強(qiáng)大���,而且不能被多個(gè)應(yīng)用程序使用,開發(fā)人員通常為他們建立的每個(gè)應(yīng)用重寫相同的代碼�����,進(jìn)一步加劇了開發(fā)成本���。”一旦實(shí)現(xiàn)��,這些從零開始編寫的代碼通常就會(huì)被忽略并且很少更新�,可能隨著時(shí)間的推移就會(huì)出現(xiàn)安全漏洞。
Hazlewood啟動(dòng)Apache Shiro項(xiàng)目��,創(chuàng)建一個(gè)用于認(rèn)證�����、授權(quán)����、加密和會(huì)話管理的開放源代碼的Java安全框架。
“Shiro強(qiáng)大了�����,”Salazar說(shuō)�����。即便如此���,Hazlewood仍然發(fā)現(xiàn)一個(gè)問(wèn)題:安全框架只解決了部分的認(rèn)證訪問(wèn)控制問(wèn)題�,因?yàn)榭蚣転榱送瓿伤麄兊墓ぷ鳎匀徊坏貌慌c后端系統(tǒng)對(duì)話���,如Active Directory或LDAP。當(dāng)構(gòu)建基于云的應(yīng)用程序時(shí)����,然而,沒(méi)有Active Directory或LDAP�����,因此他仍然不得不反復(fù)地重塑那一部分��。
Hazlewood說(shuō)����,在公有云中,傳統(tǒng)的網(wǎng)絡(luò)安全策略并不適用�,而且任何安全漏洞可能被迅速利用。這個(gè)缺陷與索尼PlayStation Network �、LinkedIn、Last.FM�、雅虎和最近的Twitter相比,成本明顯很高��。
Hazlewood說(shuō):“大多數(shù)開發(fā)團(tuán)隊(duì)的員工沒(méi)有足夠的安全專業(yè)知識(shí),所以當(dāng)將他們的應(yīng)用程序部署到公有云時(shí)�����,他們冒著非常高的風(fēng)險(xiǎn)”�����。Salazar表示同意���,“云日漸成為應(yīng)用程序的爭(zhēng)議平臺(tái)��。”
Hazlewood不知道Salazar也在云中間件軟件領(lǐng)域處理著同樣的問(wèn)題���,現(xiàn)有的工具有單點(diǎn)登錄功能,這些功能對(duì)于在云中構(gòu)建新的應(yīng)用程序是不夠的����。“當(dāng)將Salesforce與其他產(chǎn)品集成時(shí),單點(diǎn)登錄是很好的�,但對(duì)于你自己的自定義應(yīng)用卻并非如此,”Salazar說(shuō)��,“我看到每個(gè)人在構(gòu)建定制云應(yīng)用都很痛苦,以及非常具體應(yīng)用程序��、手機(jī)的應(yīng)用程序����、客戶應(yīng)用程序、伙伴應(yīng)用程序等等�����。”
Salazar叫Hazlewood來(lái)解決他的技術(shù)驗(yàn)證的問(wèn)題�。“他開始笑了���,因?yàn)樗谧鱿嗤氖虑椋?rdquo;Salazar說(shuō)�����,“我說(shuō)���,‘好吧,讓我們談?wù)勔恍┛蛻?。辭掉工作并創(chuàng)辦一個(gè)公司。’”
作為開放源代碼軟件的支持者����,他們第一次計(jì)劃發(fā)布他們的工具作為開放源代碼的產(chǎn)品�,使用典型的開放源代碼的商業(yè)模式���。在探索性研究中�����,他們發(fā)現(xiàn)���,對(duì)于那些擁有內(nèi)部安全與發(fā)展團(tuán)隊(duì)的大企業(yè)來(lái)說(shuō),開放源代碼交付效果很好�����,但是那些小型和中型企業(yè)(SMB)卻效果不佳�。如必要的話,大公司有能力 DIY���,但是他們卻很歡迎可重用�����、內(nèi)部的解決方案����。大多數(shù)中小企業(yè)沒(méi)有DIY的安全團(tuán)隊(duì)或內(nèi)部專業(yè)。“顯而易見�����,云交付是中小企業(yè)交付路線��,”Salazar說(shuō)���,“中型企業(yè)不想做安全管理��,他們擔(dān)心修補(bǔ)數(shù)據(jù)庫(kù)服務(wù)器和運(yùn)行最新的副本。他們只是想要一個(gè)隨需應(yīng)變的API”�。
開發(fā)人員構(gòu)建新的應(yīng)用程序,Stormpath提供自動(dòng)化安全工作流的服務(wù)���,啟用身份驗(yàn)證服務(wù)�����、訪問(wèn)控制和更多服務(wù)���,Hazlewood說(shuō):“因此開發(fā)人員可以回去寫代碼了”。如認(rèn)證、密碼重置和電子郵件帳戶驗(yàn)證這樣的工作���,每一個(gè)都需要一個(gè)單一的REST調(diào)用���。Salazar說(shuō):“沒(méi)有數(shù)據(jù)建模,沒(méi)有代碼��,沒(méi)有UI�����,也沒(méi)有那些”���。語(yǔ)言庫(kù)使Java��、PHP和Rubydevelopers不必了解REST和JSON�����。
“沒(méi)有人喜歡一遍又一遍地構(gòu)建安全性��,” Salazar說(shuō)�,“這是應(yīng)用程序的關(guān)鍵��,但它并不是核心;建立業(yè)務(wù)邏輯才是核心。”他們繼續(xù)探索可重用應(yīng)用安全解決方案���,對(duì)于Salazar和 Hazlewood來(lái)說(shuō)�����,接下來(lái)的一步是建立更多的Stormpath軟件開發(fā)者工具包并擴(kuò)展開發(fā)語(yǔ)言和平臺(tái)支持��。
