三大有效措施保障云应用安全

现如今,基于云计算的应用已经被广泛使用并保持着一个惊人的增长速度。而由于云应用是通过互联网访问,且无论何时何地,任何人都可以对其进行访问。因此,这一应用的安全性显得十分重要。这也是创建和管理云应用的企业必须作出保证——客户所信赖的这一应用无论哪一层的基础架构都必须安全——的原因所在。

试想,假如谷歌的Gmail也被黑客入侵,客户的所有邮件内容都被窃取,那会造成怎样的后果?谷歌将名誉扫地,而客户也会放弃谷歌转而投向其他的电邮企业。客户、资金将遭到无法估量的大损失。而相反的,倘若谷歌在安全检查时就发现了漏洞,然后迅速将其修复,阻止了黑客的入侵,那公众又会持一个什么样的态度呢?这只是一个很戏剧性的例子,但是其实现实中每天都在发生这样的情况。因此我们可以这么说:企业必须及时地采取有效措施,来预防安全漏洞,不要等到被攻击后才来想办法。

在本文中,我将讨论三种不同的策略,企业可以用这三种策略来最大限度地提高基于云的应用的安全性,预防可怕的安全漏洞。

发现并修复安全漏洞

确保基于云的应用的安全性,第一种方法是,尽可能多地去发现并处理所有可能的漏洞。 许多技术可以用来发现应用中的安全漏洞,如手动的或自动的源代码审查 ,污点分析,网络扫描, 模糊测试 ,故障注入或者符号执行。 然而,要想找出Web应用中的软件漏洞,并不是所有这些技术都同样适用。 对于基于云的应用来说,如操作系统或者虚拟机管理程序 ,则要考虑应用本身的漏洞以及较低层的漏洞。 因此,最好采用渗透测试服务来检查应用,并且针对发现的所有漏洞,做一份安全报告。

一定要记住:即使经过了安全审查,也有可能仍然存在零日攻击漏洞。 不过,审查过程可以消除最为关键的漏洞。

避免安全漏洞被成功利用

要想最大限度地提高云应用的安全性,第二个策略是:不处理新发现的应用漏洞,而是预防现有的漏洞被利用。 有多种技术和工具,可以预防漏洞被成功利用,包括:

• 防火墙 -防火墙可以用来阻止访问某些DMZ 边界的端口,并成功地阻止攻击者通过网络或者DMZ访问易受攻击的应用。

• 入侵检测 (IDS)/ 入侵防御 (IPS)系统 -通过使用IDS / IPS,企业可以在攻击有机会到达目标应用之前,找到已知的攻击模式并且阻止攻击。

• Web应用防火墙(WAF) -WAF可以用来查找应用层的恶意模式。 可以检测到漏洞,如SQL注入 ,跨站点脚本和路径遍历。 有两种类型的WAF软件方案可供选择:黑名单或者白名单。 黑名单WAF只能拦截已知的恶意请求,而白名单WAF默认拦截所有可疑的请求。 当使用黑名单时,很容易重新建立请求,因此,就算不出现在黑名单中,该请求也绝对不会绕过白名单。 尽管使用白名单更加安全,但是需要更多的时间来完成设置,因为必须手动将所有有效的请求编入白名单中。 如果组织愿意花费时间建立WAF,企业的安全性可能会提高。运行Nginx Web服务器的企业应该考虑开源Naxsi Web应用防火墙,使用白名单来保护应用。

• 内容分发网络(CDN)——CDN使用域名系统 (DNS)将内容分发到整个互联网的多个数据中心,使网页加载速度更快。 当用户发送DNS请求时,CDN返回一个最接近于用户位置的IP。 这不仅会使网页的加载速度更快,也可以使系统免受拒绝服务的攻击。 通常情况下,CDN还可以开启其他保护机制,如WAF,电子邮件保护,监测正常运行时间和性能,谷歌Analytics(分析)。

• 认证——应尽可能采用双因素身份验证机制。只使用用户名/密码组合登录到云应用, 对攻击者来说这是一个巨大漏洞,因为,通过社会工程攻击就可以收集到用户名/密码等信息。 另外,攻击者也可以通过猜测或者暴力破解密码。 单点登录不但可以提高效率,还能保证所有用户都能适当访问云应用,同时保证安全性。

控制漏洞被成功利用所造成的损失

提高云应用安全性,最后一种方案还包括:攻击者发现安全漏洞后绕过保护机制,进而利用漏洞访问系统,控制由此造成的损失。 有多个CSP方案,包括:

• 虚拟化 。 应用被攻破,其配套的基础设施可能遭受损失,尽管通过控制这种损失可以提高安全性,但是,在虚拟化环境中运行应用,意味着每个应用都要运行一种操作系统 – 这完全是浪费资源。 这就是为什么容器变得越来越受欢迎。 容器是一种软件组件,其中应用与系统的其余部分隔开,从而不需要完全成熟的虚拟化层。比较 流行的容器包括Linux容器(LXC)或者Docker。

• 沙盒。 即使黑客能够访问后端系统,但是应用的任何攻击都将被限制在沙箱环境下。 因此,攻击者只有绕过沙盒才能访问操作系统。 有几种不同的可利用的沙箱环境,包括LXC和Docker。

• 加密 。 一些重要的信息,如社会保障号或者信用卡号,必须存储在数据库中进行适当加密。 如果应用支持的话,企业应该将数据发送到已加密的云中。

• 日志监控/ 安全信息和事件监控 (SIEM)。 当发生攻击事件时,最好具备日志系统/ SIEM,从而迅速确定攻击的来源,找出背后的攻击者以及如何缓解这个问题。

• 备份 。 出现任何问题,最好要有适当的备份系统。 因为创建工作备份系统很难 - 并且可能需要相当长一段时间,很多企业选择将备份过程外包。

结论

如果将数据保存在云中,就会带来一些新的安全性挑战 - 幸运的是,有很多方法可以解决这些问题。 与避免漏洞被成功利用相比,找出并修复应用漏洞也同样重要 ,具备适当的防御机制以阻止恶意攻击也很关键。

本文提出了很多方法可以保护基于云的应用,但是,设置需要时间和精力。 正是由于这些约束条件,企业没有及时获得他们想要的投资回报,因此企业往往忽略安全的重要性。 在实践中,往往应用基础设施被破坏之后,安全性才会显得很重要。首先,采取适当的步骤确保应用的安全性,预防漏洞 ——其次,制定漏洞被利用时所采取的措施计划,对云应用环境的成功与安全性、组织的整体活力来说,都至关重要。

时间: 2024-10-02 03:26:47

三大有效措施保障云应用安全的相关文章

微软公布部分措施保障云安全

微软公布了适用于其云服务上的安全政策,什么将最终发展成为行业标准确保这些服务?微软的这个做法给安全带来了曙光.微软的这份文件名为<保障微软的云基础设施>,高度概括了微软在保护其基础设施以及其用户的数据和应用程序方面将采取的哪些措施.从广义上看,这些做法依赖于风险评估和纵深防御,以及周期循环的风险再评估和制定适当的新对策,以保证能够处于领先于威胁发展的优势.微软还监测有关数据保密性和 完整性的法律,以其遵守这些法规.微软表示,他们对其云基础设施进行一年一度的审查以满足支付卡行业标准(PCI).塞

工信部印发AI三年行动计划,4大任务,5项措施保障AI发展

当前,新一轮科技革命和产业变革正在萌发,大数据的形成.理论算法的革新.计算能力的提升及网络设施的演进驱动人工智能发展进入新阶段,智能化成为技术和产业发展的重要方向.人工智能具有显著的溢出效应,将进一步带动其他技术的进步,推动战略性新兴产业总体突破,正在成为推进供给侧结构性改革的新动能.振兴实体经济的新机遇.建设制造强国和网络强国的新引擎.为落实<新一代人工智能发展规划>,深入实施"中国制造2025",抓住历史机遇,突破重点领域,促进人工智能产业发展,提升制造业智能化水平,推

三大技术破解“云安全+云保护”之谜团

本文讲的是三大技术破解"云安全+云保护"之谜团,如果说2009年信息安全产业的热点,毫无疑问"云安全"技术当之无愧.据记者观察,无论是新技术还是新应用,业内众多主流安全厂商都在向"云"靠拢.有意思的是,随着云安全应用的重要性日益凸现,针对云端服务器群组的保护技术也推陈出新.可以说,当前的这朵"云"越来越有味道了. 谜团一:理解"云安全"技术 在大家理解"云安全"技术之前,记者首先要强调一

可信服务器从基础保障云数据中心安全

本文讲的是可信服务器从基础保障云数据中心安全,作为云计算时代的落地产物,云数据中心以其高效.稳定和低成本的特性受到了企业的广泛关注.随之而来的云安全问题却成为困扰企业最大的难题,特别是棱镜门事件之后,企业对于云数据中心的安全问题的关注已提升到了一个新的高度. 随着国家对信息安全的重视,自主可控成为从根本上抑制信息安全问题的基础.作为云数据中心的核心设备,服务器的安全成为业界关注的重点.可信计算再一次走进人们的视线,近期,浪潮正式发布了以可信计算为基础的可信服务器,可信服务器以可信芯片为起点,为企

云计算应用无处不在 如何保障云数据安全

最近全球经济动荡,企业为安全度过经济寒冬, 纷纷为降低运营成本煞费苦心,因而有效推动了云计算的发展.云计算的应用可以有效降低投资及运营成本,企业必须开始架设云计算蓝图,否则会落后于其他对手, 失去竞争力.云计算应用的特性是无处不在,用户可随时通过网络取得数据,这使得备份和安全性变得特别重要--如何保障云中数据安全,将会是云计算发展的关键.安全问题成推广云计算"拦路虎"云计算的优势毋庸置疑,然而有不少用户担心"云安全",害怕因而泄露商业秘密.国家机密.个人隐私.几个月

【知云】第十期:如何保障云上游戏安全?云盾+高防IP筑起云上安全高墙

摘要:近日,有用户吐槽新游戏容易被黑客攻击的事情,那么对于这样的情况,阿里云有什么样的解决方案呢?本文中将由阿里云架构师翟冉与大家分享阿里云游戏安全解决方案. 想要看视频版?请点击这里:[知云]游戏安全 针对于游戏安全防御的用户痛点,阿里云提供了一整套的游戏安全解决方案,下图为阿里云游戏安全解决方案. 目前整个网络安全的形式较为严峻,新上线的游戏应用经常会遭受到DDoS攻击,而使用阿里云的云盾系统将可以有效地防范DDoS攻击.整个云盾系统架设了两套清洗系统,可以对攻击的流量进行精准清洗,当攻击流

五个步骤教你保障云上数据安全

6月6日苹果iCloud正式发布,其中9项云服务免费.云服务是一种潮流,也是一种趋势.与此同时,我们越来越多的数据都将存储到云上而非个人电脑上.尽管最近几大云计算巨头都出现过严重的安全问题,包括亚马逊史前最大宕机事件.索尼千万用户信息被盗等,但是还是有越来越多的人选择了云计算. 在将数据转移到云上的同时,并不是很多人对如何保护云上数据安全有一个清晰的认识,因此Phil Wainewright先生给出了以下五个步骤帮助你有效保障云上数据安全. 1. 重视安全问题 黑客通常有两种方法入侵网络数据,第

三大运作机制让云成为当前最好的安全解决方案

亚马逊云.苹果iCloud云.阿里云.腾讯云.百度云.金山云--这世界仿佛冒出了无数的云,高速.高效.便捷地与整个世界实现了互联.然而,就是这样一种高速.高效.便捷的系统却受到了无数的质疑,因为在一般人的概念里,把所有的东西都放在云端总有一种不脚踏实地的感觉.人们普遍觉得,和传统的以防火墙.负载均衡.访问审计.网域隔离等为主的网络安全策略相比,表面上看起来无比扁平化的云计算模式在带给用户便捷的同时,也给黑客和网络恐怖分子带来同样的便利. 在云时代的今天,网络信息泄露事件愈演愈烈,网络黑客常常可以

如何保障云的业务连续性

近年来,云计算成为当今IT界炙手可热的话题,云计算理念是把IT资源当作服务来提供,其目标与IT发展的目标是一致的:更低的成本,更快速的交付,更多样性的服务.云计算不是特定的技术,而是一种服务理念,是通过按需弹性扩展和用户自助服务实现IT服务的便捷性和自动化. 细数云的种种类别 云计算离不开底层的基础架构建设,云计算实现的技术:目前主要是服务器虚拟化(VMware,HyperV,Xen 等).存储虚拟化(飞康.IBM.HDS等).网络虚拟化(Cisco).桌面虚拟化(Citrix,oracle-S