三種預防策略：提高雲應用的安全性

目前，基於雲的應用被廣泛使用，並且以驚人的速度不斷增長。由於基於雲的應用可以通過互聯網訪問，並且任何人、在任何地方都可以訪問。因此，應用的安全性變得尤為重要。這就是為什麼創建和管理基於雲的應用的企業必須要保證：客戶所信賴的應用基礎架構的每一層都是安全的。

想像一下，如果谷歌的Gmail遭到黑客攻擊，黑客能夠讀取用戶郵件的內容，會造成什麼樣的後果?不僅谷歌的聲譽會受到影響，谷歌的客戶也將很快開始尋找其他電子郵件的替代者，客戶、資金不可避免地將大量流失。假如結果發現：如果檢查安全漏洞的話，該黑客所利用的Gmail安全漏洞很容易就能被阻止，公眾將會有什麼反應呢?雖然這是一個戲劇性的例子，但是，每天就會發生這樣的情況。重要的是，企業要儘早採取相應的措施來預防安全漏洞，不要等到為時已晚。

在本文中，我將討論三種不同的策略，企業可以用這三種策略來最大限度地提高基於雲的應用的安全性，預防可怕的安全漏洞。

發現並修復安全漏洞

確保基於雲的應用的安全性，第一種方法是，儘可能多地去發現並處理所有可能的漏洞。許多技術可以用來發現應用中的安全漏洞，如手動的或自動的源代碼審查，污點分析，網路掃描，模糊測試，故障注入或者符號執行。然而，要想找出Web應用中的軟體漏洞，並不是所有這些技術都同樣適用。對於基於雲的應用來說，如操作系統或者虛擬機管理程序，則要考慮應用本身的漏洞以及較低層的漏洞。因此，最好採用滲透測試服務來檢查應用，並且針對發現的所有漏洞，做一份安全報告。

一定要記住：即使經過了安全審查，也有可能仍然存在零日攻擊漏洞。不過，審查過程可以消除最為關鍵的漏洞。

避免安全漏洞被成功利用

要想最大限度地提高雲應用的安全性，第二個策略是：不處理新發現的應用漏洞，而是預防現有的漏洞被利用。有多種技術和工具，可以預防漏洞被成功利用，包括：

· 防火牆 -防火牆可以用來阻止訪問某些DMZ 邊界的埠，並成功地阻止攻擊者通過網路或者DMZ訪問易受攻擊的應用。

· 入侵檢測 (IDS)/ 入侵防禦 (IPS)系統 -通過使用IDS / IPS，企業可以在攻擊有機會到達目標應用之前，找到已知的攻擊模式並且阻止攻擊。

· Web應用防火牆(WAF) -WAF可以用來查找應用層的惡意模式。可以檢測到漏洞，如SQL注入，跨站點腳本和路徑遍歷。有兩種類型的WAF軟體方案可供選擇：黑名單或者白名單。黑名單WAF只能攔截已知的惡意請求，而白名單WAF默認攔截所有可疑的請求。當使用黑名單時，很容易重新建立請求，因此，就算不出現在黑名單中，該請求也絕對不會繞過白名單。儘管使用白名單更加安全，但是需要更多的時間來完成設置，因為必須手動將所有有效的請求編入白名單中。如果組織願意花費時間建立WAF，企業的安全性可能會提高。

· 內容分發網路(CDN)——CDN使用域名系統 (DNS)將內容分發到整個互聯網的多個數據中心，使網頁載入速度更快。當用戶發送DNS請求時，CDN返回一個最接近於用戶位置的IP。這不僅會使網頁的載入速度更快，也可以使系統免受拒絕服務的攻擊。通常情況下，CDN還可以開啟其他保護機制，如WAF，電子郵件保護，監測正常運行時間和性能，谷歌Analytics(分析)。

· 認證——應儘可能採用雙因素身份驗證機制。只使用用戶名/密碼組合登錄到雲應用，對攻擊者來說這是一個巨大漏洞，因為，通過社會工程攻擊就可以收集到用戶名/密碼等信息。另外，攻擊者也可以通過猜測或者暴力破解密碼。單點登錄不但可以提高效率，還能保證所有用戶都能適當訪問雲應用，同時保證安全性。

控制漏洞被成功利用所造成的損失

提高雲應用安全性，最後一種方案還包括：攻擊者發現安全漏洞後繞過保護機制，進而利用漏洞訪問系統，控制由此造成的損失。有多個CSP方案，包括：

· 虛擬化。應用被攻破，其配套的基礎設施可能遭受損失，儘管通過控制這種損失可以提高安全性，但是，在虛擬化環境中運行應用，意味著每個應用都要運行一種操作系統 – 這完全是浪費資源。這就是為什麼容器變得越來越受歡迎。容器是一種軟體組件，其中應用與系統的其餘部分隔開，從而不需要完全成熟的虛擬化層。比較流行的容器包括Linux容器(LXC)或者Docker。

· 沙盒。即使黑客能夠訪問後端系統，但是應用的任何攻擊都將被限制在沙箱環境下。因此，攻擊者只有繞過沙盒才能訪問操作系統。有幾種不同的可利用的沙箱環境，包括LXC和Docker。

· 加密。一些重要的信息，如社會保障號或者信用卡號，必須存儲在資料庫中進行適當加密。如果應用支持的話，企業應該將數據發送到已加密的雲中。

· 日誌監控/ 安全信息和事件監控 (SIEM)。當發生攻擊事件時，最好具備日誌系統/ SIEM，從而迅速確定攻擊的來源，找出背後的攻擊者以及如何緩解這個問題。

· 備份。出現任何問題，最好要有適當的備份系統。因為創建工作備份系統很難 – 並且可能需要相當長一段時間，很多企業選擇將備份過程外包。

智安網路雲聯防具備全網協議支持，七層清洗，智能分散式抗D演算法，支持遊戲、APP等特大流量清洗，大規模WEB 攻擊防護能力支持獨享定製解決方案保證業務快速可達。

來自作者：佚名來源：西部數碼