云應(yīng)用安全防護(hù)三大關(guān)鍵最佳實踐
目前,基于云的應(yīng)用被廣泛使用,并且以驚人的速度不斷增長。 由于基于云的應(yīng)用可以通過互聯(lián)網(wǎng)訪問,并且任何人,在任何地方都可以訪問,因此,應(yīng)用的安全性變得尤為重要。 這就是為什么創(chuàng)建和管理基于
目前,基于云的應(yīng)用被廣泛使用,并且以驚人的速度不斷增長。 由于基于云的應(yīng)用可以通過互聯(lián)網(wǎng)訪問,并且任何人,在任何地方都可以訪問,因此,應(yīng)用的安全性變得尤為重要。 這就是為什么創(chuàng)建和管理基于云的應(yīng)用的企業(yè)必須要保證:客戶所信賴的應(yīng)用基礎(chǔ)架構(gòu)的每一層都是安全的。
云應(yīng)用安全防護(hù)三大關(guān)鍵最佳實踐
想象一下,如果谷歌的Gmail遭到黑客攻擊,黑客能夠讀取用戶郵件的內(nèi)容,會造成什么樣的后果?不僅谷歌的聲譽 會受到影響,谷歌的客戶也將很快開始尋找其他電子郵件的替代者。 客戶、資金不可避免地將大量流失。 假如結(jié)果發(fā)現(xiàn):如果檢查安全漏洞的話,該黑客所利用的Gmail安全漏洞很容易就能被阻止,那么公眾將會有什么反應(yīng)呢? 雖然這是一個戲劇性的例子,但是,每天就會發(fā)生這樣的情況。 重要的是,企業(yè)要盡早采取相應(yīng)的措施來預(yù)防安全漏洞,不要等到為時已晚。
在本文中,我將討論三種不同的策略,企業(yè)可以用這三種策略來最大限度地提高基于云的應(yīng)用的安全性,預(yù)防可怕的安全漏洞。
發(fā)現(xiàn)并修復(fù)安全漏洞
確保基于云的應(yīng)用的安全性,第一種方法是,盡可能多地去發(fā)現(xiàn)并處理所有可能的漏洞。 許多技術(shù)可以用來發(fā)現(xiàn)應(yīng)用中的安全漏洞,如手動的或自動的源代碼審查 ,污點分析,網(wǎng)絡(luò)掃描, 模糊測試 ,故障注入或者符號執(zhí)行。 然而,要想找出Web應(yīng)用中的軟件漏洞,并不是所有這些技術(shù)都同樣適用。 對于基于云的應(yīng)用來說,如操作系統(tǒng)或者虛擬機管理程序 ,則要考慮應(yīng)用本身的漏洞以及較低層的漏洞。 因此,最好采用滲透測試服務(wù)來檢查應(yīng)用,并且針對發(fā)現(xiàn)的所有漏洞,做一份安全報告。
一定要記住:即使經(jīng)過了安全審查,也有可能仍然存在零日攻擊漏洞。 不過,審查過程可以消除最為關(guān)鍵的漏洞。
避免安全漏洞被成功利用
要想最大限度地提高云應(yīng)用的安全性,第二個策略是:不處理新發(fā)現(xiàn)的應(yīng)用漏洞,而是預(yù)防現(xiàn)有的漏洞被利用。 有多種技術(shù)和工具,可以預(yù)防漏洞被成功利用,包括:
• 防火墻 -防火墻可以用來阻止訪問某些DMZ 邊界的端口,并成功地阻止攻擊者通過網(wǎng)絡(luò)或者DMZ訪問易受攻擊的應(yīng)用。
• 入侵檢測 (IDS)/ 入侵防御 (IPS)系統(tǒng) -通過使用IDS / IPS,企業(yè)可以在攻擊有機會到達(dá)目標(biāo)應(yīng)用之前,找到已知的攻擊模式并且阻止攻擊。
• Web應(yīng)用防火墻(WAF) -WAF可以用來查找應(yīng)用層的惡意模式。 可以檢測到漏洞,如SQL注入 ,跨站點腳本和路徑遍歷。 有兩種類型的WAF軟件方案可供選擇:黑名單或者白名單。 黑名單WAF只能攔截已知的惡意請求,而白名單WAF默認(rèn)攔截所有可疑的請求。 當(dāng)使用黑名單時,很容易重新建立請求,因此,就算不出現(xiàn)在黑名單中,該請求也絕對不會繞過白名單。 盡管使用白名單更加安全,但是需要更多的時間來完成設(shè)置,因為必須手動將所有有效的請求編入白名單中。 如果組織愿意花費時間建立WAF,企業(yè)的安全性可能會提高。運行Nginx Web服務(wù)器的企業(yè)應(yīng)該考慮開源Naxsi Web應(yīng)用防火墻,使用白名單來保護(hù)應(yīng)用。
• 內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)——CDN使用域名系統(tǒng) (DNS)將內(nèi)容分發(fā)到整個互聯(lián)網(wǎng)的多個數(shù)據(jù)中心,使網(wǎng)頁加載速度更快。 當(dāng)用戶發(fā)送DNS請求時,CDN返回一個最接近于用戶位置的IP。 這不僅會使網(wǎng)頁的加載速度更快,也可以使系統(tǒng)免受拒絕服務(wù)的攻擊。 通常情況下,CDN還可以開啟其他保護(hù)機制,如WAF,電子郵件保護(hù),監(jiān)測正常運行時間和性能,谷歌Analytics(分析)。
• 認(rèn)證——應(yīng)盡可能采用雙因素身份驗證機制。只使用用戶名/密碼組合登錄到云應(yīng)用, 對攻擊者來說這是一個巨大漏洞,因為,通過社會工程攻擊就可以收集到用戶名/密碼等信息。 另外,攻擊者也可以通過猜測或者暴力破解密碼。 單點登錄不但可以提高效率,還能保證所有用戶都能適當(dāng)訪問云應(yīng)用,同時保證安全性。
云應(yīng)用安全防護(hù)三大關(guān)鍵最佳實踐
想象一下,如果谷歌的Gmail遭到黑客攻擊,黑客能夠讀取用戶郵件的內(nèi)容,會造成什么樣的后果?不僅谷歌的聲譽 會受到影響,谷歌的客戶也將很快開始尋找其他電子郵件的替代者。 客戶、資金不可避免地將大量流失。 假如結(jié)果發(fā)現(xiàn):如果檢查安全漏洞的話,該黑客所利用的Gmail安全漏洞很容易就能被阻止,那么公眾將會有什么反應(yīng)呢? 雖然這是一個戲劇性的例子,但是,每天就會發(fā)生這樣的情況。 重要的是,企業(yè)要盡早采取相應(yīng)的措施來預(yù)防安全漏洞,不要等到為時已晚。
在本文中,我將討論三種不同的策略,企業(yè)可以用這三種策略來最大限度地提高基于云的應(yīng)用的安全性,預(yù)防可怕的安全漏洞。
發(fā)現(xiàn)并修復(fù)安全漏洞
確保基于云的應(yīng)用的安全性,第一種方法是,盡可能多地去發(fā)現(xiàn)并處理所有可能的漏洞。 許多技術(shù)可以用來發(fā)現(xiàn)應(yīng)用中的安全漏洞,如手動的或自動的源代碼審查 ,污點分析,網(wǎng)絡(luò)掃描, 模糊測試 ,故障注入或者符號執(zhí)行。 然而,要想找出Web應(yīng)用中的軟件漏洞,并不是所有這些技術(shù)都同樣適用。 對于基于云的應(yīng)用來說,如操作系統(tǒng)或者虛擬機管理程序 ,則要考慮應(yīng)用本身的漏洞以及較低層的漏洞。 因此,最好采用滲透測試服務(wù)來檢查應(yīng)用,并且針對發(fā)現(xiàn)的所有漏洞,做一份安全報告。
一定要記住:即使經(jīng)過了安全審查,也有可能仍然存在零日攻擊漏洞。 不過,審查過程可以消除最為關(guān)鍵的漏洞。
避免安全漏洞被成功利用
要想最大限度地提高云應(yīng)用的安全性,第二個策略是:不處理新發(fā)現(xiàn)的應(yīng)用漏洞,而是預(yù)防現(xiàn)有的漏洞被利用。 有多種技術(shù)和工具,可以預(yù)防漏洞被成功利用,包括:
• 防火墻 -防火墻可以用來阻止訪問某些DMZ 邊界的端口,并成功地阻止攻擊者通過網(wǎng)絡(luò)或者DMZ訪問易受攻擊的應(yīng)用。
• 入侵檢測 (IDS)/ 入侵防御 (IPS)系統(tǒng) -通過使用IDS / IPS,企業(yè)可以在攻擊有機會到達(dá)目標(biāo)應(yīng)用之前,找到已知的攻擊模式并且阻止攻擊。
• Web應(yīng)用防火墻(WAF) -WAF可以用來查找應(yīng)用層的惡意模式。 可以檢測到漏洞,如SQL注入 ,跨站點腳本和路徑遍歷。 有兩種類型的WAF軟件方案可供選擇:黑名單或者白名單。 黑名單WAF只能攔截已知的惡意請求,而白名單WAF默認(rèn)攔截所有可疑的請求。 當(dāng)使用黑名單時,很容易重新建立請求,因此,就算不出現(xiàn)在黑名單中,該請求也絕對不會繞過白名單。 盡管使用白名單更加安全,但是需要更多的時間來完成設(shè)置,因為必須手動將所有有效的請求編入白名單中。 如果組織愿意花費時間建立WAF,企業(yè)的安全性可能會提高。運行Nginx Web服務(wù)器的企業(yè)應(yīng)該考慮開源Naxsi Web應(yīng)用防火墻,使用白名單來保護(hù)應(yīng)用。
• 內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)——CDN使用域名系統(tǒng) (DNS)將內(nèi)容分發(fā)到整個互聯(lián)網(wǎng)的多個數(shù)據(jù)中心,使網(wǎng)頁加載速度更快。 當(dāng)用戶發(fā)送DNS請求時,CDN返回一個最接近于用戶位置的IP。 這不僅會使網(wǎng)頁的加載速度更快,也可以使系統(tǒng)免受拒絕服務(wù)的攻擊。 通常情況下,CDN還可以開啟其他保護(hù)機制,如WAF,電子郵件保護(hù),監(jiān)測正常運行時間和性能,谷歌Analytics(分析)。
• 認(rèn)證——應(yīng)盡可能采用雙因素身份驗證機制。只使用用戶名/密碼組合登錄到云應(yīng)用, 對攻擊者來說這是一個巨大漏洞,因為,通過社會工程攻擊就可以收集到用戶名/密碼等信息。 另外,攻擊者也可以通過猜測或者暴力破解密碼。 單點登錄不但可以提高效率,還能保證所有用戶都能適當(dāng)訪問云應(yīng)用,同時保證安全性。
責(zé)任編輯:熊川
免責(zé)聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
我要收藏
個贊
- 相關(guān)閱讀
- 泛在電力物聯(lián)網(wǎng)
- 電動汽車
- 儲能技術(shù)
- 智能電網(wǎng)
- 電力通信
- 電力軟件
- 高壓技術(shù)
-
權(quán)威發(fā)布 | 新能源汽車產(chǎn)業(yè)頂層設(shè)計落地:鼓勵“光儲充放”,有序推進(jìn)氫燃料供給體系建設(shè)
2020-11-03新能源,汽車,產(chǎn)業(yè),設(shè)計 -
中國自主研制的“人造太陽”重力支撐設(shè)備正式啟運
2020-09-14核聚變,ITER,核電 -
探索 | 既耗能又可供能的數(shù)據(jù)中心 打造融合型綜合能源系統(tǒng)
2020-06-16綜合能源服務(wù),新能源消納,能源互聯(lián)網(wǎng)
-
新基建助推 數(shù)據(jù)中心建設(shè)將迎爆發(fā)期
2020-06-16數(shù)據(jù)中心,能源互聯(lián)網(wǎng),電力新基建 -
泛在電力物聯(lián)網(wǎng)建設(shè)下看電網(wǎng)企業(yè)數(shù)據(jù)變現(xiàn)之路
2019-11-12泛在電力物聯(lián)網(wǎng) -
泛在電力物聯(lián)網(wǎng)建設(shè)典型實踐案例
2019-10-15泛在電力物聯(lián)網(wǎng)案例
-
新基建之充電樁“火”了 想進(jìn)這個行業(yè)要“心里有底”
2020-06-16充電樁,充電基礎(chǔ)設(shè)施,電力新基建 -
燃料電池汽車駛?cè)雽こ0傩占疫€要多久?
-
備戰(zhàn)全面電動化 多部委及央企“定調(diào)”充電樁配套節(jié)奏
-
權(quán)威發(fā)布 | 新能源汽車產(chǎn)業(yè)頂層設(shè)計落地:鼓勵“光儲充放”,有序推進(jìn)氫燃料供給體系建設(shè)
2020-11-03新能源,汽車,產(chǎn)業(yè),設(shè)計 -
中國自主研制的“人造太陽”重力支撐設(shè)備正式啟運
2020-09-14核聚變,ITER,核電 -
能源革命和電改政策紅利將長期助力儲能行業(yè)發(fā)展
-
探索 | 既耗能又可供能的數(shù)據(jù)中心 打造融合型綜合能源系統(tǒng)
2020-06-16綜合能源服務(wù),新能源消納,能源互聯(lián)網(wǎng) -
5G新基建助力智能電網(wǎng)發(fā)展
2020-06-125G,智能電網(wǎng),配電網(wǎng) -
從智能電網(wǎng)到智能城市
