互聯網的世界,人們在享受高速發展的便捷,同時也要關注、防護互聯網帶來的安全問題。
一、發現並及時修復安全漏洞
確保基於雲的應用的安全性,第一種方法是,儘可能多地去發現並處理所有可能的漏洞。對於基於雲的應用來說,如操作系統或者虛擬機管理程序,則要考慮應用本身的漏洞以及較低層的漏洞。因此,最好採用滲透測試服務來檢查應用,並且針對發現的所有漏洞,做一份安全報告。但是請注意:即使經過了安全審查,也有可能仍然存在零日攻擊漏洞。不過,審查過程可以消除最為關鍵的漏洞。
二、應當避免安全漏洞被成功利用
要想最大限度地提高雲應用的安全性,第二個策略是:不處理新發現的應用漏洞,而是預防現有的漏洞被利用。
具體的措施有如下幾種:
防火牆可以用來阻止訪問某些DMZ邊界的端口,併成功地阻止攻擊者通過網絡或者DMZ訪問易受攻擊的應用。
通過使用入侵檢測IDS或者入侵防禦IPS,企業可以在攻擊有機會到達目標應用之前,找到已知的攻擊模式並且阻止攻擊。
Web應用防火牆WAF可以用來查找應用層的惡意模式。可以檢測到漏洞,如SQL注入、跨站點腳本和路徑遍歷。
CDN使用域名系統DNS將內容分發到整個互聯網的多個數據中心,使網頁加載速度更快。當用戶發送DNS請求時,CDN返回一個最接近於用戶位置的IP。這不僅會使網頁的加載速度更快,也可以使系統免受拒絕服務DDos的攻擊。
認證方面應儘可能採用雙因素身份驗證機制。只使用用戶名和密碼組合登錄到雲應用,對攻擊者來說這是一個巨大漏洞,因為,通過社會工程攻擊就可以收集到用戶名和密碼等信息。另外,攻擊者也可以通過猜測或者暴力破解密碼。單點登錄不但可以提高效率,還能保證所有用戶都能適當訪問雲應用,同時保證安全性。
三、控制漏洞被成功利用所造成的損失
提高雲應用安全性,最後一種方案還包括:攻擊者發現安全漏洞後繞過保護機制,進而利用漏洞訪問系統,控制由此造成的損失。
具體措施如下:
虛擬化或者沙盒:容器是一種軟件組件,其中應用與系統的其餘部分隔開,從而不需要完全成熟的虛擬化層。比較流行的容器包括Linux容器LXC或者Docker。通過容器可以構建沙箱環境,即使黑客能夠訪問後端系統,但是應用的任何攻擊都將被限制在沙箱環境下。因此,攻擊者只有繞過沙盒才能訪問操作系統。
加密:一些重要的信息,如社會保障號或者信用卡號,必須存儲在數據庫中進行適當加密。如果應用支持的話,企業應該將數據發送到已加密的雲中。
日誌監控或者安全信息和事件監控SIEM:當發生攻擊事件時,最好具備日誌系統或者SIEM,從而迅速確定攻擊的來源,找出背後的攻擊者以及如何緩解這個問題。
備份:出現任何問題,最好要有適當的備份系統。因為創建工作備份系統複雜並且可能需要相當長一段時間,很多企業選擇將備份過程外包。
