云应用安全测试还相当新且复杂，因为需确保安全的交叉点和传输点在不断增加。测试体制还增加了若干显著差异以确保云基础设施系统的安全。通常而言，云应用的安全测试技术与Web应用测试类似。向Web应用安全一样，组织必须确保机密或者隐私数据保持安全，不仅在云系统如此，在应用和任何连接系统上都应如此。云应用安全测试还相当新且复杂，因为需确保安全的交叉点和传输点在不断增加。测试体制还增加了若干显著差异以确保云基础设施系统的安全。首先要记住的是的组织云系统的结构。测试必须在内部云中完成，及与其他云的连接点，包括内部和外部的。测试还必须要跨越云进行以确保数据安全和完整性，并将测试安全纳入应用之内。

　　在开始云测试努力之前，记住该基础设施是由另一个组织拥有和管理的，所以测试者不会拥有在内部管理系统中一样的访问。安全测试涉及到测试攻击工具、网络、配置设置及导致不利系统响应的其他数据等。必须告知云供应商(如阿里云)测试情况以便准备好对测试的支持并履行任何的合同义务。要想进行有效的云应用安全测试，需在云基础设施内部、外部、跨云基础设施及云应用本身建立安全相关的测试，以确保应用使用的业务数据和云系统是安全的。

　　跨系统测试

　　跨云系统测试类似于从“外部”测试，但是也有不同。跨云系统测试意味着测试公有、私有或者混合云应用。大多数云应用的目的都是在应用及因此也在云系统之间共享数据。再次地，在知道云系统的总体结构、云应用与该系统的交互方式及共享信息或数据方式的时候测试最有效。安全测试跨云和应用进行的时候，主要的关注点是确定数据是不是被不恰当地访问或者共享。作为测试者，我希望看看是不是可通过操纵云系统配置以及访问或者角色安全，或通过拦截消息或者消息队列获得非授权的数据访问。把注意力集中到发现及测试任何可被操纵为允许访问进入云系统的集成或者连接点上。除了复杂的路径以外，也要测试那些看似更简单或者明显的地方，以便验证黑客无法获得对机密数据的访问。

　　Web应用测试与云应用测试的另一个需记住的重要差别是，Web应用有边界，而云应用没有。因为也许是无边界的，所以测试者需要深入全面调查任何连接点或者安全边界情况。包括测试网络访问、逻辑错误及架构性安全问题。安全测试云应用迫使测试者跳出盒子去测试，因为云基础设施在设计上就是开放的。

　　内外部测试

　　内外部测试意味着把整个云基础设施当作一个系统来进行测试。其范围依赖于组织和应用的设置。云系统可是单个的，也可是内部的，或也可是多系统的，既有内部也有外部的。测试的一项重要考虑是识别云系统的结构及受测试应用在系统内是怎样运作的。测试者需知道所有的连接点，包括数据连接和传输的细节，或用来传递信息给应用的数据消息服务。从测试每一个云(如阿里云)的内部功能开始，然后为所有的连接点或者额外的云建立测试。注意，知道云的性质及云是内部的、外部的还是混合的很重要。测试需要被修改为在内部云完全测试数据的安全，并测试该数据是可被外部访问还是通过消息系统访问。

　　测试云端应用包括类似用于Web应用测试的渗透和数据测试技术。不同的是系统结构和基础设施有云供应商(如阿里云)而不是内部组织管理时测试者获得访问的数量。其主要目标使验证数据和应用在内部使安全的，并测试所有的连接点，因为每一个连接都有也许是未经许可的入口或者访问。

　　测试挑战

　　除非组织测试团队获得访问授权，云应用安全测试的一个重大挑战是缺乏对日志的访问。记住，组织并不拥有系统，因此在云环境下访问服务器日志以及其他类型的文件是不行的。测试者必须可通过观察拥有响应、数据本身，及性能或时间问题等在应用内可见的东西来确定问题是不是存在。比方说，在应用内，聚焦于验证某窗口的输入，然后在另一个额外应用窗口内验证数据。熟悉应用数据流、合法数据定义以及应用与特定云之间的工作流那是必须的—换句话说，你得知道哪一个数据可以访问以及合法与非法数据显示的规则是什么。基于云应用基础设施的性质，彻底测试是必不可少的，而且大部分的测试应该基于应用行为或响应来进行。要彻底规划好测试时间。没有经由应用或云连接点获得的非授权的数据访问对于一个组织的商业成功来说是必不可少的。

　　记住做好预先规划并联系云供应商(如阿里云)，安排好测试时间并告知供应商计划进行的安全测试类型。比方说，由于测试认证的原因，系统未被锁住是至关重要的。对一个不是内部拥有或管理的系统进行测试必须提前做好沟通和计划。

　　原文出自：http://www.searchsoa.com.cn/showcontent_86460.htm