Evaluación de vulnerabilidad de la aplicación en la nube

0

¿Crees que la evaluación de la aplicación del lado del servidor es importante cuando la aplicación se hospeda en una nube como Amazon?

La evaluación del software utilizado para alojar la aplicación no es la aplicación real, por ejemplo, Evaluación del servidor web nginx utilizando nessus o nexpose. La seguridad de este software debe ser cuidada por Amazon. Si existe alguna vulnerabilidad en el servidor web nginx, el problema de seguridad debe ser con Amazon y no con la aplicación real. Por favor aclarar mi duda. ¿Mi enfoque es correcto?

    
pregunta dany 09.11.2012 - 06:56
fuente

1 respuesta

2

Si bien podría darse el caso de que Amazon haya realizado las pruebas de configuración adecuadas de sus servidores y haya implementado una auditoría de seguridad completa, ¿realmente quiere arriesgar su operación? ¿Estabilidad y seguridad al no probarlo por ti mismo?

La pregunta más importante es por qué quieres usar "nube" de todos modos, si tienes algo que valga la pena mantener seguro. Lo único positivo que proviene de la computación en la nube es que es barato. Todo lo que escuchas sobre la mejora del tiempo de funcionamiento es una falacia: solo observa cuántos bloques largos de tiempo de inactividad han tenido los principales sitios debido a las interrupciones de S3. Entonces, desde una perspectiva de seguridad, tiene estos problemas:

  • Estás culpando al outsourcing, pero no a la responsabilidad. Amazon no tiene ningún acuerdo contractual con usted para proporcionar pruebas de seguridad adecuadas de una manera que sea aplicable a usted específicamente como cliente. Puede culparlos por los fallos de seguridad que desee, pero no serán responsables contractualmente.
  • Estás poniendo la respuesta al incidente en manos de otra empresa. No tendrá absolutamente ninguna suerte de obtener imágenes de disco completo que se interpondrán ante el tribunal en caso de ser hackeado. Amazon no tiene los recursos, la inclinación ni la influencia legal para proporcionar copias y registros de nivel forense a los clientes.
  • Una vez que coloca los datos en la nube, puede que ya ni siquiera sea tuyo . Varios gobiernos, incluido EE. UU., Han aprobado leyes que dicen que los datos "en la nube" ya no son de propiedad, y pueden ser tomados o eliminados.

La seguridad real y el tiempo de funcionamiento competitivo cuestan dinero. Si desea una seguridad adecuada y un alto tiempo de funcionamiento, obtenga un servidor dedicado con un SLA y haga que un probador de seguridad competente evalúe la pila completa.

    
respondido por el Polynomial 09.11.2012 - 08:08
fuente

Lea otras preguntas en las etiquetas