目前,基于云的應用被廣泛使用,并且以驚人的速度不斷增長。由于基于云的應用可以通過互聯(lián)網(wǎng)訪問,并且任何人、在任何地方都可以訪問。因此,應用的安全性變得尤為重要。這就是為什么創(chuàng)建和管理基于云的應用的企業(yè)必須要保證:客戶所信賴的應用基礎架構(gòu)的每一層都是安全的。
舞鋼網(wǎng)站制作公司哪家好,找成都創(chuàng)新互聯(lián)公司!從網(wǎng)頁設計、網(wǎng)站建設、微信開發(fā)、APP開發(fā)、響應式網(wǎng)站設計等網(wǎng)站項目制作,到程序開發(fā),運營維護。成都創(chuàng)新互聯(lián)公司自2013年創(chuàng)立以來到現(xiàn)在10年的時間,我們擁有了豐富的建站經(jīng)驗和運維經(jīng)驗,來保證我們的工作的順利進行。專注于網(wǎng)站建設就選成都創(chuàng)新互聯(lián)公司。想象一下,如果谷歌的Gmail遭到黑客攻擊,黑客能夠讀取用戶郵件的內(nèi)容,會造成什么樣的后果?不僅谷歌的聲譽會受到影響,谷歌的客戶也將很快開始尋找其他電子郵件的替代者,客戶、資金不可避免地將大量流失。假如結(jié)果發(fā)現(xiàn):如果檢查安全漏洞的話,該黑客所利用的Gmail安全漏洞很容易就能被阻止,公眾將會有什么反應呢?雖然這是一個戲劇性的例子,但是,每天就會發(fā)生這樣的情況。重要的是,企業(yè)要盡早采取相應的措施來預防安全漏洞,不要等到為時已晚。
在本文中,我將討論三種不同的策略,企業(yè)可以用這三種策略來大限度地提高基于云的應用的安全性,預防可怕的安全漏洞。
發(fā)現(xiàn)并修復安全漏洞
確保基于云的應用的安全性,第一種方法是,盡可能多地去發(fā)現(xiàn)并處理所有可能的漏洞。 許多技術可以用來發(fā)現(xiàn)應用中的安全漏洞,如手動的或自動的源代碼審查 ,污點分析,網(wǎng)絡掃描, 模糊測試 ,故障注入或者符號執(zhí)行。 然而,要想找出Web應用中的軟件漏洞,并不是所有這些技術都同樣適用。 對于基于云的應用來說,如操作系統(tǒng)或者虛擬機管理程序 ,則要考慮應用本身的漏洞以及較低層的漏洞。 因此,最好采用滲透測試服務來檢查應用,并且針對發(fā)現(xiàn)的所有漏洞,做一份安全報告。
一定要記住:即使經(jīng)過了安全審查,也有可能仍然存在零日攻擊漏洞。 不過,審查過程可以消除最為關鍵的漏洞。
避免安全漏洞被成功利用
要想大限度地提高云應用的安全性,第二個策略是:不處理新發(fā)現(xiàn)的應用漏洞,而是預防現(xiàn)有的漏洞被利用。 有多種技術和工具,可以預防漏洞被成功利用,包括:
? 防火墻-防火墻可以用來阻止訪問某些DMZ 邊界的端口,并成功地阻止攻擊者通過網(wǎng)絡或者DMZ訪問易受攻擊的應用。
? 入侵檢測 (IDS)/ 入侵防御 (IPS)系統(tǒng) -通過使用IDS / IPS,企業(yè)可以在攻擊有機會到達目標應用之前,找到已知的攻擊模式并且阻止攻擊。
? Web應用防火墻(WAF) -WAF可以用來查找應用層的惡意模式。 可以檢測到漏洞,如SQL注入 ,跨站點腳本和路徑遍歷。有兩種類型的WAF軟件方案可供選擇:黑名單或者白名單。黑名單WAF只能攔截已知的惡意請求,而白名單WAF默認攔截所有可疑的請求。當使用黑名單時,很容易重新建立請求,因此,就算不出現(xiàn)在黑名單中,該請求也絕對不會繞過白名單。盡管使用白名單更加安全,但是需要更多的時間來完成設置,因為必須手動將所有有效的請求編入白名單中。如果組織愿意花費時間建立WAF,企業(yè)的安全性可能會提高。
?內(nèi)容分發(fā)網(wǎng)絡(CDN)——CDN使用域名系統(tǒng) (DNS)將內(nèi)容分發(fā)到整個互聯(lián)網(wǎng)的多個數(shù)據(jù)中心,使網(wǎng)頁加載速度更快。 當用戶發(fā)送DNS請求時,CDN返回一個最接近于用戶位置的IP。 這不僅會使網(wǎng)頁的加載速度更快,也可以使系統(tǒng)免受拒絕服務的攻擊。 通常情況下,CDN還可以開啟其他保護機制,如WAF,電子郵件保護,監(jiān)測正常運行時間和性能,谷歌Analytics(分析)。
? 認證——應盡可能采用雙因素身份驗證機制。只使用用戶名/密碼組合登錄到云應用, 對攻擊者來說這是一個巨大漏洞,因為,通過社會工程攻擊就可以收集到用戶名/密碼等信息。 另外,攻擊者也可以通過猜測或者暴力破解密碼。 單點登錄不但可以提高效率,還能保證所有用戶都能適當訪問云應用,同時保證安全性。
控制漏洞被成功利用所造成的損失
提高云應用安全性,最后一種方案還包括:攻擊者發(fā)現(xiàn)安全漏洞后繞過保護機制,進而利用漏洞訪問系統(tǒng),控制由此造成的損失。 有多個CSP方案,包括:
?虛擬化 。應用被攻破,其配套的基礎設施可能遭受損失,盡管通過控制這種損失可以提高安全性,但是,在虛擬化環(huán)境中運行應用,意味著每個應用都要運行一種操作系統(tǒng) – 這完全是浪費資源。 這就是為什么容器變得越來越受歡迎。 容器是一種軟件組件,其中應用與系統(tǒng)的其余部分隔開,從而不需要完全成熟的虛擬化層。比較 流行的容器包括Linux容器(LXC)或者Docker。
? 沙盒。即使黑客能夠訪問后端系統(tǒng),但是應用的任何攻擊都將被限制在沙箱環(huán)境下。因此,攻擊者只有繞過沙盒才能訪問操作系統(tǒng)。有幾種不同的可利用的沙箱環(huán)境,包括LXC和Docker。
? 加密 。一些重要的信息,如社會保障號或者信用卡號,必須存儲在數(shù)據(jù)庫中進行適當加密。如果應用支持的話,企業(yè)應該將數(shù)據(jù)發(fā)送到已加密的云中。
? 日志監(jiān)控/ 安全信息和事件監(jiān)控 (SIEM)。 當發(fā)生攻擊事件時,最好具備日志系統(tǒng)/ SIEM,從而迅速確定攻擊的來源,找出背后的攻擊者以及如何緩解這個問題。
? 備份 。 出現(xiàn)任何問題,最好要有適當?shù)膫浞菹到y(tǒng)。 因為創(chuàng)建工作備份系統(tǒng)很難 – 并且可能需要相當長一段時間,很多企業(yè)選擇將備份過程外包。
結(jié)論
如果將數(shù)據(jù)保存在云中,就會帶來一些新的安全性挑戰(zhàn) – 幸運的是,有很多方法可以解決這些問題。 與避免漏洞被成功利用相比,找出并修復應用漏洞也同樣重要 ,具備適當?shù)姆烙鶛C制以阻止惡意攻擊也很關鍵。
本文提出了很多方法可以保護基于云的應用,但是,設置需要時間和精力。 正是由于這些約束條件,企業(yè)沒有及時獲得他們想要的投資回報,因此企業(yè)往往忽略安全的重要性。 在實踐中,往往應用基礎設施被破壞之后,安全性才會顯得很重要。首先,采取適當?shù)牟襟E確保應用的安全性,預防漏洞 ——其次,制定漏洞被利用時所采取的措施計劃,對云應用環(huán)境的成功與安全性、組織的整體活力來說,都至關重要。
分享標題:三種預防策略:提高云應用的安全性
文章出自:http://www.rwnh.cn/article26/dsejg.html
成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供動態(tài)網(wǎng)站、自適應網(wǎng)站、網(wǎng)頁設計公司、響應式網(wǎng)站、網(wǎng)站改版、定制網(wǎng)站
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)