目前，基于云的應用被廣泛使用，并且以驚人的速度不斷增長。 由于基于云的應用可以通過互聯(lián)網(wǎng)訪問，并且任何人，在任何地方都可以訪問，因此，應用的安全性變得尤為重要。 這就是為什么創(chuàng)建和管理基于云的應用的企業(yè)必須要保證：客戶所信賴的應用基礎架構的每一層都是安全的。
 
云應用安全防護三大關鍵最佳實踐
　　想象一下，如果谷歌的Gmail遭到黑客攻擊，黑客能夠讀取用戶郵件的內(nèi)容，會造成什么樣的后果?不僅谷歌的聲譽 會受到影響，谷歌的客戶也將很快開始尋找其他電子郵件的替代者。 客戶、資金不可避免地將大量流失。 假如結果發(fā)現(xiàn)：如果檢查安全漏洞的話，該黑客所利用的Gmail安全漏洞很容易就能被阻止，那么公眾將會有什么反應呢? 雖然這是一個戲劇性的例子，但是，每天就會發(fā)生這樣的情況。 重要的是，企業(yè)要盡早采取相應的措施來預防安全漏洞，不要等到為時已晚。
　　在本文中，我將討論三種不同的策略，企業(yè)可以用這三種策略來最大限度地提高基于云的應用的安全性，預防可怕的安全漏洞。
 
　　發(fā)現(xiàn)并修復安全漏洞
　　確?；谠频膽玫陌踩?，第一種方法是，盡可能多地去發(fā)現(xiàn)并處理所有可能的漏洞。 許多技術可以用來發(fā)現(xiàn)應用中的安全漏洞，如手動的或自動的源代碼審查 ，污點分析，網(wǎng)絡掃描， 模糊測試 ，故障注入或者符號執(zhí)行。 然而，要想找出Web應用中的軟件漏洞，并不是所有這些技術都同樣適用。 對于基于云的應用來說，如操作系統(tǒng)或者虛擬機管理程序 ，則要考慮應用本身的漏洞以及較低層的漏洞。 因此，最好采用滲透測試服務來檢查應用，并且針對發(fā)現(xiàn)的所有漏洞，做一份安全報告。
　　一定要記?。杭词菇?jīng)過了安全審查，也有可能仍然存在零日攻擊漏洞。 不過，審查過程可以消除最為關鍵的漏洞。
 
　　避免安全漏洞被成功利用
　　要想最大限度地提高云應用的安全性，第二個策略是：不處理新發(fā)現(xiàn)的應用漏洞，而是預防現(xiàn)有的漏洞被利用。 有多種技術和工具，可以預防漏洞被成功利用，包括：
• 防火墻 -防火墻可以用來阻止訪問某些DMZ 邊界的端口，并成功地阻止攻擊者通過網(wǎng)絡或者DMZ訪問易受攻擊的應用。
 
　　• 入侵檢測 (IDS)/ 入侵防御 (IPS)系統(tǒng) -通過使用IDS / IPS，企業(yè)可以在攻擊有機會到達目標應用之前，找到已知的攻擊模式并且阻止攻擊。
 
　　• Web應用防火墻(WAF) -WAF可以用來查找應用層的惡意模式。 可以檢測到漏洞，如SQL注入 ，跨站點腳本和路徑遍歷。 有兩種類型的WAF軟件方案可供選擇：黑名單或者白名單。 黑名單WAF只能攔截已知的惡意請求，而白名單WAF默認攔截所有可疑的請求。 當使用黑名單時，很容易重新建立請求，因此，就算不出現(xiàn)在黑名單中，該請求也絕對不會繞過白名單。 盡管使用白名單更加安全，但是需要更多的時間來完成設置，因為必須手動將所有有效的請求編入白名單中。 如果組織愿意花費時間建立WAF，企業(yè)的安全性可能會提高。運行Nginx Web服務器的企業(yè)應該考慮開源Naxsi Web應用防火墻，使用白名單來保護應用。
 
　　• 內(nèi)容分發(fā)網(wǎng)絡(CDN)——CDN使用域名系統(tǒng) (DNS)將內(nèi)容分發(fā)到整個互聯(lián)網(wǎng)的多個數(shù)據(jù)中心，使網(wǎng)頁加載速度更快。 當用戶發(fā)送DNS請求時，CDN返回一個最接近于用戶位置的IP。 這不僅會使網(wǎng)頁的加載速度更快，也可以使系統(tǒng)免受拒絕服務的攻擊。 通常情況下，CDN還可以開啟其他保護機制，如WAF，電子郵件保護，監(jiān)測正常運行時間和性能，谷歌Analytics(分析)。
 
　　• 認證——應盡可能采用雙因素身份驗證機制。只使用用戶名/密碼組合登錄到云應用， 對攻擊者來說這是一個巨大漏洞，因為，通過社會工程攻擊就可以收集到用戶名/密碼等信息。 另外，攻擊者也可以通過猜測或者暴力破解密碼。 單點登錄不但可以提高效率，還能保證所有用戶都能適當訪問云應用，同時保證安全性。