第三方檢測讓雲端服務更可靠
- DIGITIMES企劃
-
提供雲端服務已是許多企業重要的營運方式,但資策會專案經理鄭子立指出,許多業者對於雲端服務上線前的檢測過於輕忽,往往都是先將服務上線再說,心態上不僅將檢測視為可有可無,就算想到要做檢測,往往也會因為距離預計上線時間太多,就算檢測出問題,也來不修改,更遑論在上線後應該要做到的服務營運監控。
鄭子立表示,目前有許多企業的雲端服務都是用委外方式製作,想要確保上線服務的品質,可以透過資策會目前已經成立的雲端開發測試平台網站,來做第三方檢測機制,因為第三方可以在甲乙雙方間扮演公正公平的檢測,在雲端上線前,嚴格把關上線品質,協助確認品質,上線後,還能夠做到定時監控,保障雲端服務網站在各ISP的連線效能和網站本身的穩定性。
鄭子立指出,雲端的使用者來自四面八方,不知道來自哪裡、怎麼使用,需要真正的工具來驗測,才能確定做出來的系統符合原先的想法,如系統要支撐一萬個使用者同時上線使用,但實際上卻不見得做得到。
因此雲端服務業者需要面對的問題是,要如何定義誰才是真的好雲?鄭子立指出,雲端服務的面向可以分為功能、效能及安全,其中在安全部分,要考慮系統、技術及管理三個層面。
在系統面的安全性方面,包括程式碼安全性、已知弱點防範、作業系統安全性、第三方軟體元件、行動APP等,都可以透過工具檢查。鄭子立強調,千萬不要等專案快結束時才做檢查,否則修改起來會非常麻煩。
在技術面的安全性方面,鄭子立指出,雲端應用環境的最大特點就是多租戶設計,不只要給使用者專屬使用介面,包括資料如何存放、資料庫的形式等,都會有影響,如在密碼管理方面,歐盟的標準就要求不可以透過人來處理重新申請,否則就可能會出現人為問題,資料的儲存、傳輸、機敏也都需要加密,否則就可能無法符合個資法的要求。
在管理面的安全性方面,許多資安國際標準,其實就很重視營運及管理。鄭子立指出,不同的國家往往會有不同的檢查規定,法律強制取用的相關規則要很清楚,以資料運用為例,衍生資料的所有權要在合約講清楚,才不會造成營運困擾。
鄭子立歸納雲端技術特性的程式設計重點,可分為多租戶設計、大量服務連線、大量資料運算、資源彈性調度、服務不中斷、隨選自助服務及服務計費杜良等7個技術特性,延伸出來的驗測項目多達49項。
資策會也因此提出一套驗測方法論,從雲端特性諮詢輔導開始共分為9個階段,分別是雲端特性諮詢輔導、雲端特性靜態檢測、雲端架構分析輔導、驗測個案設計輔導、煙霧測試、雲端特性動態測試、問題分析調校測試、資安檢測及建議改善輔導方案,以文鼎科技開發及驗測案例為例子指出,從最初的服務設計開始,前後經過418次驗測,效能也從10秒進步到4秒。
鄭子立強調,驗測工具也是有學問的,以效能測試為例,往往在功能測試時沒問題,但在大量連線壓力測試時,基本問題(系統?IIS?Log)就會造成系統掛掉,但如果不做壓力測試,可能就找不出大量連線計算下的一些程式問題,如 網頁圖檔、DB Connection等,而且千萬不要以為知名產品就不會有問題,而且知名產品的功能也不一定完美,有時就算是老技術,也是很可靠的。
