對部署在雲環境中的應用進行安全防護���,主要分為安全開發���、應用防火牆��、滲透測試和安全眾測等部分。
1.安全開發
在開發過程中,遵循安全開發生命周期進行開發應用,可有效提高應用的防禦能力。傳統的安全開發生命周期如下表所示。
|
階段
|
具體內容
|
|
安全培訓
|
·核心安全培訓
|
|
安全要求
|
·確定安全要求
·創建質量門/Bug欄
·安全和私隱風險評估
|
|
開發設計
|
·確定設計要求
·分析攻擊面
·威脅建模
|
|
開發實施
|
·使用批准的工具
·棄用不安全的函數
·靜態分析
|
|
安全驗證
|
·動態分析
·模糊測試
·攻擊面評析
|
|
產品發佈
|
·事件響應計劃
·最終安全評析
·發佈存檔
|
|
時間響應
|
·執行事件響應計劃
|
在安全開發生命周期的各階段都有相應的安全任務。這些任務若沒有完成,也就是說該階段的安全問題或風險未解決,一旦不予解決並帶給下一階段,將最終帶入生產環境。藉助安全開發生命周期的流程保障,可保證不把問題����、風險����、缺陷帶到下一階段。
全開發生命周期在大型公司的產品開發中都有廣泛應用,以阿里云為例,其安全雲產品的開發生命周期主要包括:安全培訓����、需分設計����、安全開發����、安全測試和發佈應急五個階段。
2.Web應用防火牆
為了對應用的安全進行防護,我們還建議引入Wb應用防火牆來保證應用安全。但引入Web應用防火牆後,其本身可能帶來的安全威脅也值得特別重視,如下表所示。
|
安全問題
|
具體內容
|
|
防數據泄露
|
防禦OWASP常見威脅����,包括SQL注入��、核心文件非法訪問���、路徑穿越等
|
|
網站隱身
|
隱藏網站真實地址����、構造強大防禦體系使攻擊者無從繞過
|
|
阻攔惡意訪問
|
針對惡意消耗資源的訪問進行封禁,可對固定IP��、地區等進行一鍵阻斷
|
|
大數據威脅情報
|
構建惡意IP庫����、惡意樣本庫,0Day挖掘
|
|
自定義業務防護
|
針對HTTP常見頭部字段組合防護策略���,打造業務專屬防護���、如盜鏈���、管理後台保護
|
|
0day漏洞補丁熱修復
|
針對常見Web服務器����、插件的漏洞����、攻防團隊定期及時更新防護規則
|
3.滲透測試
在應用上線前,對應用進行不以破壞為目的的滲透測試,可有效發現應用中存在的隱患與漏洞。
此外,滲透測試的過程並不是完全固定的。在此過程中,有經驗的測試人員會根據實際測試情況隨機應變,隨時調整測試方案。
4.安全眾測
在應用開發完成後,正式上線之前,進行安全眾測可高效地發現應用漏洞。用戶部署在雲環境上的應用,可顺利获得雲服務给予商的安全眾測服務進行安全檢測。此外���,用戶可自己設定測試範圍與獎勵計劃����,雲服務给予商由測試漏洞的效果進收費。用戶還可以邀請可信任的第三方白帽子和安全公司參與測試。當檢測出漏洞後,需審核並修復。待修復完成後,再複測該漏洞,保證應用的安全性。另外,進行安全眾測還能定期對部署應用的用戶给予安全報告。
