企業(yè)外包 | 為您整理提高云應(yīng)用的安全性的三種預(yù)防策略

2020-03-27 17:57 作者：艾銻無(wú)限 瀏覽量：

   

在一封題為“我們可以從新冠病毒疫情中學(xué)會(huì)什么”的公開信中，他寫道：

“冥冥中自有深意”

“我堅(jiān)信，無(wú)論是好是壞，眼下所發(fā)生的一切事情背后自有深意。”不管是好事還是壞事。它提醒我們：

1)無(wú)論我們?cè)谖幕⒆诮獭⒙殬I(yè)、經(jīng)濟(jì)狀況或聲望方面存在多大差異，我們?cè)谝咔楸l(fā)時(shí)都是平等的。

2）我們都是相互聯(lián)系的，影響一個(gè)人的事情也會(huì)影響其他人。

3）我們?cè)O(shè)置的虛假邊界沒(méi)有什么價(jià)值，因?yàn)檫@種病毒不需要護(hù)照就會(huì)傳播。它通過(guò)短暫的壓迫提醒我們，這個(gè)世界上許多人終生都在壓迫中度過(guò)。

4）我們的健康是多么珍貴，我們是如何通過(guò)食用營(yíng)養(yǎng)不良的加工食品和飲用被化學(xué)物質(zhì)污染的水而忽視它的。如果我們不注意我們的健康，我們當(dāng)然會(huì)生病。

5）生命的短暫，提醒我們最重要的是要互相幫助，尤其是幫助那些老人或病人。

6）我們的社會(huì)已經(jīng)變得多么崇尚物質(zhì)。在困難時(shí)期，我們應(yīng)該記住，我們需要的是必需品(食物、水、藥品)，而不是我們有時(shí)不必要地賦予高昂價(jià)值的奢侈品。

7）我們的家庭和家庭生活是多么重要，我們是多么忽視了這一點(diǎn)。它正迫使我們重返家園，這樣我們才能重建家園，鞏固我們的家庭。

8）我們真正的工作不是現(xiàn)在的工作，那是我們所做的，而不是我們生來(lái)要做的。我們真正的工作是互相照顧，互相保護(hù)，互相得益。

企業(yè)IT外包  |   為您整理提高云應(yīng)用的安全性的三種預(yù)防策略

   
目前，基于云的應(yīng)用被廣泛使用，并且以驚人的速度不斷增長(zhǎng)。由于基于云的應(yīng)用可以通過(guò)互聯(lián)網(wǎng)訪問(wèn)，并且任何人、在任何地方都可以訪問(wèn)。因此，應(yīng)用的安全性變得尤為重要。這就是為什么創(chuàng)建和管理基于云的應(yīng)用的企業(yè)必須要保證：客戶所信賴的應(yīng)用基礎(chǔ)架構(gòu)的每一層都是安全的。

想象一下，如果谷歌的Gmail遭到黑客攻擊，黑客能夠讀取用戶郵件的內(nèi)容，會(huì)造成什么樣的后果？不僅谷歌的聲譽(yù)會(huì)受到影響，谷歌的客戶也將很快開始尋找其他電子郵件的替代者，客戶、資金不可避免地將大量流失。假如結(jié)果發(fā)現(xiàn)：如果檢查安全漏洞的話，該黑客所利用的Gmail安全漏洞很容易就能被阻止，公眾將會(huì)有什么反應(yīng)呢？雖然這是一個(gè)戲劇性的例子，但是，每天就會(huì)發(fā)生這樣的情況。重要的是，企業(yè)要盡早采取相應(yīng)的措施來(lái)預(yù)防安全漏洞，不要等到為時(shí)已晚。

在本文中，我將討論三種不同的策略，企業(yè)可以用這三種策略來(lái)最大限度地提高基于云的應(yīng)用的安全性，預(yù)防可怕的安全漏洞。

發(fā)現(xiàn)并修復(fù)安全漏洞

確保基于云的應(yīng)用的安全性，第一種方法是，盡可能多地去發(fā)現(xiàn)并處理所有可能的漏洞。 許多技術(shù)可以用來(lái)發(fā)現(xiàn)應(yīng)用中的安全漏洞，如手動(dòng)的或自動(dòng)的源代碼審查 ，污點(diǎn)分析，網(wǎng)絡(luò)掃描， 模糊測(cè)試 ，故障注入或者符號(hào)執(zhí)行。 然而，要想找出Web應(yīng)用中的軟件漏洞，并不是所有這些技術(shù)都同樣適
用。 對(duì)于基于云的應(yīng)用來(lái)說(shuō)，如操作系統(tǒng)或者虛擬機(jī)管理程序 ，則要考慮應(yīng)用本身的漏洞以及較低層的漏洞。 因此，最好采用滲透測(cè)試服務(wù)來(lái)檢查應(yīng)用，并且針對(duì)發(fā)現(xiàn)的所有漏洞，做一份安全報(bào)告。

一定要記住：即使經(jīng)過(guò)了安全審查，也有可能仍然存在零日攻擊漏洞。 不過(guò)，審查過(guò)程可以消除最為關(guān)鍵的漏洞。

避免安全漏洞被成功利用

要想最大限度地提高云應(yīng)用的安全性，第二個(gè)策略是：不處理新發(fā)現(xiàn)的應(yīng)用漏洞，而是預(yù)防現(xiàn)有的漏洞被利用。 有多種技術(shù)和工具，可以預(yù)防漏洞被成功利用，包括：• 防火墻 -防火墻可以用來(lái)阻止訪問(wèn)某些DMZ 邊界的端口，并成功地阻止攻擊者通過(guò)網(wǎng)絡(luò)或者DMZ訪問(wèn)易受攻擊的應(yīng)用。• 入侵檢測(cè)
(IDS)/ 入侵防御 (IPS)系統(tǒng) -通過(guò)使用IDS / IPS，企業(yè)可以在攻擊有機(jī)會(huì)到達(dá)目標(biāo)應(yīng)用之前，找到已知的攻擊模式并且阻止攻擊。• Web應(yīng)用防火墻(WAF) -WAF可以用來(lái)查找應(yīng)用層的惡意模式。 可以檢測(cè)到漏洞，如SQL注入 ，跨站點(diǎn)腳本和路徑遍歷。有兩種類型的WAF軟件方案可供選擇：黑名單
或者白名單。黑名單WAF只能攔截已知的惡意請(qǐng)求，而白名單WAF默認(rèn)攔截所有可疑的請(qǐng)求。當(dāng)使用黑名單時(shí)，很容易重新建立請(qǐng)求，因此，就算不出現(xiàn)在黑名單中，該請(qǐng)求也絕對(duì)不會(huì)繞過(guò)白名單。盡管使用白名單更加安全，但是需要更多的時(shí)間來(lái)完成設(shè)置，因?yàn)楸仨毷謩?dòng)將所有有效的請(qǐng)求編入白名單中。如果組織愿意花費(fèi)時(shí)間建立WAF，企業(yè)的安全性可能會(huì)提高。•內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)——CDN使用域名系統(tǒng) (DNS)將內(nèi)容分發(fā)到整個(gè)互聯(lián)網(wǎng)的多個(gè)數(shù)據(jù)中心，使網(wǎng)頁(yè)加載速度更快。 當(dāng)用戶發(fā)送DNS請(qǐng)求時(shí)，CDN返回一個(gè)最接近于用戶位置的IP。 這不僅會(huì)使網(wǎng)頁(yè)的加載速度更快，也可以使系統(tǒng)免受拒絕服務(wù)的攻擊。 通常情況下，CDN還可以開啟其他保護(hù)機(jī)制，如WAF，電子郵件保護(hù)，監(jiān)測(cè)正常運(yùn)行時(shí)間和性能，谷歌Analytics(分析)。• 認(rèn)證——應(yīng)盡可能采用雙因素身份驗(yàn)證機(jī)制。只使用用戶名/密碼組合登錄到云應(yīng)用， 對(duì)攻擊者來(lái)說(shuō)這是一個(gè)巨大漏洞，因?yàn)椋ㄟ^(guò)社會(huì)工程攻擊就可以收集到用戶名/密碼等信息。 另外，攻擊者也可以通過(guò)猜測(cè)或者暴力破解密碼。 單點(diǎn)登錄不但可以提高效率，還能保證所有用戶都能適當(dāng)訪問(wèn)云應(yīng)用，同時(shí)保證安全性。

控制漏洞被成功利用所造成的損失

提高云應(yīng)用安全性，最后一種方案還包括：攻擊者發(fā)現(xiàn)安全漏洞后繞過(guò)保護(hù)機(jī)制，進(jìn)而利用漏洞訪問(wèn)系統(tǒng)，控制由此造成的損失。 有多個(gè)CSP方案，包括：•虛擬化 。應(yīng)用被攻破，其配套的基礎(chǔ)設(shè)施可能遭受損失，盡管通過(guò)控制這種損失可以提高安全性，但是，在虛擬化環(huán)境中運(yùn)行應(yīng)用，意味著每
個(gè)應(yīng)用都要運(yùn)行一種操作系統(tǒng) – 這完全是浪費(fèi)資源。 這就是為什么容器變得越來(lái)越受歡迎。 容器是一種軟件組件，其中應(yīng)用與系統(tǒng)的其余部分隔開，從而不需要完全成熟的虛擬化層。比較 流行的容器包括Linux容器(LXC)或者Docker。• 沙盒。即使黑客能夠訪問(wèn)后端系統(tǒng)，但是應(yīng)用的任何攻擊都將被限制在沙箱環(huán)境下。因此，攻擊者只有繞過(guò)沙盒才能訪問(wèn)操作系統(tǒng)。有幾種不同的可利用的沙箱環(huán)境，包括LXC和Docker。• 加密 。一些重要的信息，如社會(huì)保障號(hào)或者信用卡號(hào)，必須存儲(chǔ)在數(shù)據(jù)庫(kù)中進(jìn)行適當(dāng)加密。如果應(yīng)用支持的話，企業(yè)應(yīng)該將數(shù)據(jù)發(fā)送到已加密的云中。• 日志監(jiān)控/ 安全信息和事件監(jiān)控 (SIEM)。 當(dāng)發(fā)生攻擊事件時(shí)，最好具備日志系統(tǒng)/ SIEM，從而迅速確定攻擊的來(lái)源，找出背后的攻擊者以及如何緩解這個(gè)問(wèn)題。• 備份 。 出現(xiàn)任何問(wèn)題，最好要有適當(dāng)?shù)膫浞菹到y(tǒng)。 因?yàn)閯?chuàng)建工作備份系統(tǒng)很難 – 并且可能需要相當(dāng)長(zhǎng)一段時(shí)間，很多企業(yè)選擇將備份過(guò)程外包。
結(jié)論

如果將數(shù)據(jù)保存在云中，就會(huì)帶來(lái)一些新的安全性挑戰(zhàn) – 幸運(yùn)的是，有很多方法可以解決這些問(wèn)題。 與避免漏洞被成功利用相比，找出并修復(fù)應(yīng)用漏洞也同樣重要 ，具備適當(dāng)?shù)姆烙鶛C(jī)制以阻止惡意攻擊也很關(guān)鍵。

本文提出了很多方法可以保護(hù)基于云的應(yīng)用，但是，設(shè)置需要時(shí)間和精力。 正是由于這些約束條件，企業(yè)沒(méi)有及時(shí)獲得他們想要的投資回報(bào)，因此企業(yè)往往忽略安全的重要性。 在實(shí)踐中，往往應(yīng)用基礎(chǔ)設(shè)施被破壞之后，安全性才會(huì)顯得很重要。首先，采取適當(dāng)?shù)牟襟E確保應(yīng)用的安全性，預(yù)防漏洞
——其次，制定漏洞被利用時(shí)所采取的措施計(jì)劃，對(duì)云應(yīng)用環(huán)境的成功與安全性、組織的整體活力來(lái)說(shuō)，都至關(guān)重要。