目前,基於雲的應用被廣泛使用,並且以驚人的速度不斷增長。 由於基於雲的應用可以通過互聯網訪問,並且任何人,在任何地方都可以訪問,因此,應用的安全性變得尤為重要。 這就是為什麼創建和管理基於雲的應用的企業必須要保證:客戶所信賴的應用HTTP://www.aliyun.com/zixun/aggregation/13748.html">基礎架構的每一層都是安全的。
想像一下,如果谷歌的Gmail遭到駭客攻擊,駭客能夠讀取使用者郵件的內容,會造成什麼樣的後果? 不僅谷歌的聲譽 會受到影響,谷歌的客戶也將很快開始尋找其他電子郵件的替代者。 客戶、資金不可避免地將大量流失。 假如結果發現:如果檢查安全性漏洞的話,該駭客所利用的Gmail安全性漏洞很容易就能被阻止,那麼公眾將會有什麼反應呢? 雖然這是一個戲劇性的例子,但是,每天就會發生這樣的情況。 重要的是,企業要儘早採取相應的措施來預防安全性漏洞,不要等到為時已晚。
在本文中,我將討論三種不同的策略,企業可以用這三種策略來最大限度地提高基於雲的應用的安全性,預防可怕的安全性漏洞。
發現並修復安全性漏洞
確保基於雲的應用的安全性,第一種方法是,盡可能多地去發現並處理所有可能的漏洞。 許多技術可以用來發現應用中的安全性漏洞,如手動的或自動的原始程式碼審查 ,污點分析,網路掃描, 模糊測試 ,故障注入或者符號執行。 然而,要想找出Web應用中的軟體漏洞,並不是所有這些技術都同樣適用。 對於基於雲的應用來說,如作業系統或者虛擬機器管理程式 ,則要考慮應用本身的漏洞以及較低層的漏洞。 因此,最好採用滲透測試服務來檢查應用,並且針對發現的所有漏洞,做一份安全報告。
一定要記住:即使經過了安全審查,也有可能仍然存在零日攻擊漏洞。 不過,審查過程可以消除最為關鍵的漏洞。
避免安全性漏洞被成功利用
要想最大限度地提高雲應用的安全性,第二個策略是:不處理新發現的應用漏洞,而是預防現有的漏洞被利用。 有多種技術和工具,可以預防漏洞被成功利用,包括:
防火牆 -防火牆可以用來阻止訪問某些DMZ 邊界的埠,並成功地阻止攻擊者通過網路或者DMZ訪問易受攻擊的應用。
入侵偵測 (IDS)/ 入侵防禦 (IPS)系統 -通過使用IDS / IPS,企業可以在攻擊有機會到達目標應用之前,找到已知的攻擊模式並且阻止攻擊。
Web應用防火牆(WAF) -WAF可以用來查找應用層的惡意模式。 可以檢測到漏洞,如SQL注入 ,跨網站腳本和路徑遍歷。 有兩種類型的WAF軟體方案可供選擇:黑名單或者白名單。 黑名單WAF只能攔截已知的惡意請求,而白名單WAF預設攔截所有可疑的請求。 當使用黑名單時,很容易重新建立請求,因此,就算不出現在黑名單中,該請求也絕對不會繞過白名單。 儘管使用白名單更加安全,但是需要更多的時間來完成設置,因為必須手動將所有有效的請求編入白名單中。 如果組織願意花費時間建立WAF,企業的安全性可能會提高。 運行Nginx Web伺服器的企業應該考慮開源Naxsi Web應用防火牆,使用白名單來保護應用。
內容分發網路(CDN)——CDN使用網域名稱系統 (DNS)將內容分發到整個互聯網的多個資料中心,使網頁載入速度更快。 當使用者發送DNS請求時,CDN返回一個最接近于使用者位置的IP。 這不僅會使網頁的載入速度更快,也可以使系統免受拒絕服務的攻擊。 通常情況下,CDN還可以開啟其他保護機制,如WAF,電子郵件保護,監測正常執行時間和性能,谷歌Analytics(分析)。
認證——應盡可能採用雙因素身份驗證機制。 只使用使用者名/密碼組合登錄到雲應用, 對攻擊者來說這是一個巨大漏洞,因為,通過社交工程攻擊就可以收集到使用者名/密碼等資訊。 另外,攻擊者也可以通過猜測或者暴力破解密碼。 單點登錄不但可以提高效率,還能保證所有使用者都能適當訪問雲應用,同時保證安全性。
控制漏洞被成功利用所造成的損失
提高雲應用安全性,最後一種方案還包括:攻擊者發現安全性漏洞後繞過保護機制,進而利用漏洞訪問系統,控制由此造成的損失。 有多個CSP方案,包括:
虛擬化 。 應用被攻破,其配套的基礎設施可能遭受損失,儘管通過控制這種損失可以提高安全性,但是,在虛擬化環境中運行應用,意味著每個應用都要運行一種作業系統 – 這完全是浪費資源。 這就是為什麼容器變得越來越受歡迎。 容器是一種軟體元件,其中應用與系統的其餘部分隔開,從而不需要完全成熟的虛擬化層。 比較 流行的容器包括Linux容器(LXC)或者Docker。
沙箱。 即使駭客能夠訪問後端系統,但是應用的任何攻擊都將被限制在沙箱環境下。 因此,攻擊者只有繞過沙箱才能訪問作業系統。 有幾種不同的可利用的沙箱環境,包括LXC和Docker。
加密 。 一些重要的資訊,如社會保障號或者信用卡號,必須存儲在資料庫中進行適當加密。 如果應用支援的話,企業應該將資料發送到已加密的雲中。
日誌監控/ 安全資訊和事件監控 (SIEM)。 當發生攻擊事件時,最好具備日誌系統/ SIEM,從而迅速確定攻擊的來源,找出背後的攻擊者以及如何緩解這個問題。
備份 。 出現任何問題,最好要有適當的備份系統。 因為創建工作備份系統很難 - 並且可能需要相當長一段時間,很多企業選擇將備份過程外包。
結論
如果將資料保存在雲中,就會帶來一些新的安全性挑戰 - 幸運的是,有很多方法可以解決這些問題。 與避免漏洞被成功利用相比,找出並修復應用漏洞也同樣重要 ,具備適當的防禦機制以阻止惡意攻擊也很關鍵。
本文提出了很多方法可以保護基於雲的應用,但是,設置需要時間和精力。 正是由於這些約束條件,企業沒有及時獲得他們想要的投資回報,因此企業往往忽略安全的重要性。 在實踐中,往往應用基礎設施被破壞之後,安全性才會顯得很重要。 首先,採取適當的步驟確保應用的安全性,預防漏洞 ——其次,制定漏洞被利用時所採取的措施計畫,對雲應用環境的成功與安全性、組織的整體活力來說,都至關重要。