云应用安全的三个关键最佳实践
云应用安全的三个关键最佳实践
2021-04-08
云应用安全的三个关键最佳实践
目前,基于云的应用程序被广泛使用,并以惊人的速度增长。因为基于云的应用程序可以通过互联网访问,并且可以被任何人和任何地方访问,所以应用程序的安全性变得尤为重要。这就是为什么创建和管理基于云的应用程序的企业必须确保客户信任的应用程序基础架构的每一层都是安全的。
试想一下,如果谷歌的Gmail遭到黑客攻击,黑客可以读取用户邮件内容,会发生什么?不仅谷歌的声誉会受到影响,谷歌的客户也会很快开始寻找其他电子邮件的替代品。客户和资金必然损失很大。如果事实证明,黑客利用的Gmail安全漏洞,如果检查安全漏洞,很容易被屏蔽,公众会有什么反应?虽然这是一个戏剧性的例子,但它每天都在发生。重要的是企业要尽快采取相应措施防范安全漏洞,不要等到太晚。
在本文中,我将讨论企业可以使用的三种不同策略,以最大限度地提高基于云的应用程序的安全性,并防止可怕的安全漏洞。
发现并修复安全漏洞

确保基于云的应用程序安全的第一个方法是尽可能多地发现和处理所有可能的漏洞。许多技术可用于发现应用程序中的安全漏洞,如手动或自动源代码审查、污点分析、网络扫描、模糊测试、故障注入或符号执行。然而,如果我们想在Web应用中发现软件漏洞,并不是所有这些技术都同样适用。对于基于云的应用,比如操作系统或者虚拟机管理程序,要考虑应用本身的脆弱性和较低层的脆弱性。因此,最好使用渗透测试服务来检查应用程序,并对所有发现的漏洞进行安全报告。
重要的是要记住,即使在安全审查之后,仍然可能存在零日攻击漏洞。然而,审查过程可以消除最关键的漏洞。
避免成功利用安全漏洞

为了最大限度地提高云应用程序的安全性,第二个策略不是处理新发现的应用程序漏洞,而是防止现有漏洞被利用。有许多技术和工具可以防止漏洞被成功利用,包括:
防火墙-防火墙可用于阻止对非军事区边界某些端口的访问,并成功阻止攻击者通过网络或非军事区访问易受攻击的应用程序。
入侵检测(IDS)/入侵防御(IPS)系统-通过使用IDS/IPS,企业可以在有机会到达目标应用程序之前找到已知的攻击模式并防止攻击。
网络应用防火墙(WAF) -WAF可以用来发现应用层的恶意模式。可以检测到漏洞,如SQL注入、跨站点脚本和路径遍历。有两种类型的WAF软件方案可供选择:黑名单或白名单。黑名单WAF只能拦截已知的恶意请求,白名单WAF默认拦截所有可疑请求。当使用黑名单时,很容易重新建立请求,所以即使它没有出现在黑名单中,请求也永远不会绕过白名单。虽然使用白名单更安全,但完成设置需要更多时间,因为所有有效的请求都必须手动列入白名单。如果组织愿意花时间建立WAF,企业的安全性可能会得到提高。运行Nginx Web服务器的企业应该考虑开源的Naxsi Web应用防火墙,使用白名单来保护应用。
内容分发网络(CDN)-CDN使用域名系统(DNS)将内容分发到互联网上的多个数据中心,这使得网页加载速度更快。当用户发送DNS请求时,CDN返回一个离用户位置最近的IP。这不仅会使网页加载更快,还能保护系统免受拒绝服务的攻击。通常,CDN还可以打开其他保护机制,如WAF、电子邮件保护、监控正常运行时间和性能以及Google Analytics。
认证——尽量采用双因素认证机制。仅使用用户名/密码组合登录云应用程序对攻击者来说是一个巨大的漏洞,因为用户名/密码等信息可以通过社会工程攻击来收集。此外,攻击者还可以通过猜测或暴力破解密码。单点登录不仅可以提高效率,还可以确保所有用户都能正确访问云应用,保证安全性。
控制成功利用漏洞造成的损失

为了提高云应用的安全性,最后一种方案还包括:攻击者在发现安全漏洞后绕过保护机制,然后利用这些漏洞访问系统,控制由此造成的损失。有几个CSP计划,包括:
虚拟化。如果应用程序遭到破坏,其支持基础架构可能会遭受损失。尽管可以通过控制这种损失来提高安全性,但在虚拟化环境中运行应用程序意味着每个应用程序都必须运行一个操作系统,这是对资源的完全浪费。这就是容器越来越受欢迎的原因。容器是一种软件组件,其中应用程序与系统的其余部分隔离开来,因此不需要完全成熟的虚拟化层。流行的容器包括Linux容器(LXC)或Docker。
沙盒。即使黑客可以访问后端系统,对应用程序的任何攻击也将仅限于沙盒环境。因此,攻击者只能绕过沙箱来访问操作系统。有几种不同的沙盒环境可用,包括LXC和多克。
加密。一些重要的信息,如社会安全号码或信用卡号码,必须存储在数据库中进行适当的加密。如果应用程序支持,企业应该将数据发送到加密的云中。
日志监控/安全信息和事件监控(SIEM)。当攻击发生时,最好有一个日志系统/SIEM来快速确定攻击的来源,找出背后的攻击者,以及如何缓解这个问题。
后援。如果有问题,最好有合适的备份系统。因为很难创建一个有效的备份系统,而且可能需要很长时间,所以许多企业选择外包备份过程。
结论

如果数据存储在云中,会带来一些新的安全挑战——幸运的是,有很多方法可以解决这些问题。与避免成功利用漏洞相比,发现和修复应用程序漏洞同样重要,拥有适当的防御机制来防止恶意攻击也至关重要。
本文提出了许多保护基于云的应用程序的方法,但建立这些方法需要时间和精力。正是因为这些约束,企业没有及时得到自己想要的投资回报,所以企业往往忽略了安全的重要性。实际上,只有在应用程序基础架构被破坏之后,安全性才非常重要。首先,采取适当的步骤来确保应用程序的安全性并防止漏洞。其次,对于云应用环境的成功和安全以及组织的整体活力来说,制定一个在漏洞被利用时采取措施的计划是非常重要的。

展开