目前,基于云的應(yīng)用被廣泛使用���,并且以驚人的速度不斷增長����。由于基于云的應(yīng)用可以通過互聯(lián)網(wǎng)訪問�,并且任何人、在任何地方都可以訪問�。因此,應(yīng)用的安全性變得尤為重要。這就是為什么創(chuàng)建和管理基于云的應(yīng)用的企業(yè)必須要保證:客戶所信賴的應(yīng)用基礎(chǔ)架構(gòu)的每一層都是安全的�。
在墨玉等地區(qū),都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局����,加強(qiáng)發(fā)展的系統(tǒng)性、市場前瞻性�、產(chǎn)品創(chuàng)新能力,以專注�����、極致的服務(wù)理念�,為客戶提供成都網(wǎng)站設(shè)計、網(wǎng)站建設(shè) 網(wǎng)站設(shè)計制作按需網(wǎng)站制作,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),高端網(wǎng)站設(shè)計,成都全網(wǎng)營銷推廣,外貿(mào)網(wǎng)站建設(shè),墨玉網(wǎng)站建設(shè)費(fèi)用合理�。
想象一下,如果谷歌的Gmail遭到黑客攻擊��,黑客能夠讀取用戶郵件的內(nèi)容����,會造成什么樣的后果?不僅谷歌的聲譽(yù)會受到影響,谷歌的客戶也將很快開始尋找其他電子郵件的替代者��,客戶��、資金不可避免地將大量流失。假如結(jié)果發(fā)現(xiàn):如果檢查安全漏洞的話���,該黑客所利用的Gmail安全漏洞很容易就能被阻止��,公眾將會有什么反應(yīng)呢?雖然這是一個戲劇性的例子����,但是��,每天就會發(fā)生這樣的情況���。重要的是,企業(yè)要盡早采取相應(yīng)的措施來預(yù)防安全漏洞�����,不要等到為時已晚�����。
在本文中�,我將討論三種不同的策略,企業(yè)可以用這三種策略來最大限度地提高基于云的應(yīng)用的安全性���,預(yù)防可怕的安全漏洞����。
發(fā)現(xiàn)并修復(fù)安全漏洞
確保基于云的應(yīng)用的安全性���,第一種方法是���,盡可能多地去發(fā)現(xiàn)并處理所有可能的漏洞。 許多技術(shù)可以用來發(fā)現(xiàn)應(yīng)用中的安全漏洞�,如手動的或自動的源代碼審查 ,污點(diǎn)分析�,網(wǎng)絡(luò)掃描, 模糊測試 ����,故障注入或者符號執(zhí)行。 然而���,要想找出Web應(yīng)用中的軟件漏洞���,并不是所有這些技術(shù)都同樣適用。 對于基于云的應(yīng)用來說��,如操作系統(tǒng)或者虛擬機(jī)管理程序 ,則要考慮應(yīng)用本身的漏洞以及較低層的漏洞�。 因此,最好采用滲透測試服務(wù)來檢查應(yīng)用��,并且針對發(fā)現(xiàn)的所有漏洞����,做一份安全報告。
一定要記?��。杭词菇?jīng)過了安全審查����,也有可能仍然存在零日攻擊漏洞��。 不過�,審查過程可以消除最為關(guān)鍵的漏洞��。
避免安全漏洞被成功利用
要想最大限度地提高云應(yīng)用的安全性����,第二個策略是:不處理新發(fā)現(xiàn)的應(yīng)用漏洞,而是預(yù)防現(xiàn)有的漏洞被利用�����。 有多種技術(shù)和工具,可以預(yù)防漏洞被成功利用��,包括:
- 防火墻 -防火墻可以用來阻止訪問某些DMZ 邊界的端口��,并成功地阻止攻擊者通過網(wǎng)絡(luò)或者DMZ訪問易受攻擊的應(yīng)用����。
- 入侵檢測 (IDS)/ 入侵防御 (IPS)系統(tǒng) -通過使用IDS / IPS,企業(yè)可以在攻擊有機(jī)會到達(dá)目標(biāo)應(yīng)用之前���,找到已知的攻擊模式并且阻止攻擊�。
- Web應(yīng)用防火墻(WAF) -WAF可以用來查找應(yīng)用層的惡意模式���。 可以檢測到漏洞���,如SQL注入 ,跨站點(diǎn)腳本和路徑遍歷�。有兩種類型的WAF軟件方案可供選擇:黑名單或者白名單。黑名單WAF只能攔截已知的惡意請求����,而白名單WAF默認(rèn)攔截所有可疑的請求�。當(dāng)使用黑名單時����,很容易重新建立請求,因此��,就算不出現(xiàn)在黑名單中��,該請求也絕對不會繞過白名單�����。盡管使用白名單更加安全��,但是需要更多的時間來完成設(shè)置���,因?yàn)楸仨毷謩訉⑺杏行У恼埱缶幦氚酌麊沃小H绻M織愿意花費(fèi)時間建立WAF��,企業(yè)的安全性可能會提高�。
- 內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)——CDN使用域名系統(tǒng) (DNS)將內(nèi)容分發(fā)到整個互聯(lián)網(wǎng)的多個數(shù)據(jù)中心,使網(wǎng)頁加載速度更快����。 當(dāng)用戶發(fā)送DNS請求時�,CDN返回一個最接近于用戶位置的IP����。 這不僅會使網(wǎng)頁的加載速度更快,也可以使系統(tǒng)免受拒絕服務(wù)的攻擊�����。 通常情況下���,CDN還可以開啟其他保護(hù)機(jī)制�,如WAF�,電子郵件保護(hù),監(jiān)測正常運(yùn)行時間和性能����,谷歌Analytics(分析)。
- 認(rèn)證——應(yīng)盡可能采用雙因素身份驗(yàn)證機(jī)制���。只使用用戶名/密碼組合登錄到云應(yīng)用����, 對攻擊者來說這是一個巨大漏洞�����,因?yàn)椋ㄟ^社會工程攻擊就可以收集到用戶名/密碼等信息���。 另外��,攻擊者也可以通過猜測或者暴力破解密碼����。 單點(diǎn)登錄不但可以提高效率��,還能保證所有用戶都能適當(dāng)訪問云應(yīng)用����,同時保證安全性。
控制漏洞被成功利用所造成的損失
提高云應(yīng)用安全性��,最后一種方案還包括:攻擊者發(fā)現(xiàn)安全漏洞后繞過保護(hù)機(jī)制�����,進(jìn)而利用漏洞訪問系統(tǒng)�����,控制由此造成的損失��。 有多個CSP方案�����,包括:
- 虛擬化 ���。應(yīng)用被攻破���,其配套的基礎(chǔ)設(shè)施可能遭受損失,盡管通過控制這種損失可以提高安全性�����,但是����,在虛擬化環(huán)境中運(yùn)行應(yīng)用,意味著每個應(yīng)用都要運(yùn)行一種操作系統(tǒng) – 這完全是浪費(fèi)資源����。 這就是為什么容器變得越來越受歡迎。 容器是一種軟件組件,其中應(yīng)用與系統(tǒng)的其余部分隔開���,從而不需要完全成熟的虛擬化層��。比較 流行的容器包括Linux容器(LXC)或者Docker�。
- 沙盒��。即使黑客能夠訪問后端系統(tǒng)���,但是應(yīng)用的任何攻擊都將被限制在沙箱環(huán)境下���。因此,攻擊者只有繞過沙盒才能訪問操作系統(tǒng)�����。有幾種不同的可利用的沙箱環(huán)境����,包括LXC和Docker。
- 加密 ����。一些重要的信息����,如社會保障號或者信用卡號�����,必須存儲在數(shù)據(jù)庫中進(jìn)行適當(dāng)加密�。如果應(yīng)用支持的話����,企業(yè)應(yīng)該將數(shù)據(jù)發(fā)送到已加密的云中。
- 日志監(jiān)控/ 安全信息和事件監(jiān)控 (SIEM)���。 當(dāng)發(fā)生攻擊事件時���,最好具備日志系統(tǒng)/ SIEM,從而迅速確定攻擊的來源���,找出背后的攻擊者以及如何緩解這個問題�����。
- 備份 ���。 出現(xiàn)任何問題��,最好要有適當(dāng)?shù)膫浞菹到y(tǒng)��。 因?yàn)閯?chuàng)建工作備份系統(tǒng)很難 – 并且可能需要相當(dāng)長一段時間���,很多企業(yè)選擇將備份過程外包。
結(jié)論
如果將數(shù)據(jù)保存在云中���,就會帶來一些新的安全性挑戰(zhàn) – 幸運(yùn)的是�,有很多方法可以解決這些問題���。 與避免漏洞被成功利用相比�,找出并修復(fù)應(yīng)用漏洞也同樣重要 ���,具備適當(dāng)?shù)姆烙鶛C(jī)制以阻止惡意攻擊也很關(guān)鍵�����。
本文提出了很多方法可以保護(hù)基于云的應(yīng)用��,但是����,設(shè)置需要時間和精力。 正是由于這些約束條件��,企業(yè)沒有及時獲得他們想要的投資回報��,因此企業(yè)往往忽略安全的重要性�。 在實(shí)踐中,往往應(yīng)用基礎(chǔ)設(shè)施被破壞之后,安全性才會顯得很重要��。首先�����,采取適當(dāng)?shù)牟襟E確保應(yīng)用的安全性�,預(yù)防漏洞 ——其次�,制定漏洞被利用時所采取的措施計劃,對云應(yīng)用環(huán)境的成功與安全性�、組織的整體活力來說,都至關(guān)重要����。
名稱欄目:三種預(yù)防策略:提高云應(yīng)用的安全性
文章轉(zhuǎn)載:
http://uogjgqi.cn/article/codogpp.html
