应用安全
应用程序及相关数据作为承载云上业务的主体,一方面蕴含了重大业务价值,另一方面应用上云后云上攻击的成本和实施门槛大大降低,更易受到恶意访问,因此保证应用程序及相关数据的机密性、完整性和可用性对于云上业务平稳、安全地运行十分重要。
应用级别分类
云上业务应用的数量是十分巨大的,每个应用具备的业务价值和重要性是不同的,企业内部应梳理业务架构,评估业务链路中各应用的重要程度进行应用分类,以此为参考进行安全防护的成本分配投入,企业可以更有针对性地制定安全策略和措施,将资源和注意力集中在最关键的应用上,以最大程度地保护业务运作的安全性和可持续性。下面列举了一个参考示例:
核心业务应用: 这些应用是企业业务的核心,直接关系到业务的正常运转和收益。例如,金融机构的核心银行系统、电子商务平台的交易系统等。对这类应用的安全性要求非常高,任何安全漏洞或中断都可能导致企业巨大的经济损失和声誉损害。
敏感信息应用: 这些应用处理包含敏感数据的业务流程。例如,医院的病人信息管理系统、律所的案件管理系统等。对这类应用的安全性要求也很高,泄露或篡改敏感信息可能会导致法律风险、隐私侵犯和声誉受损。
支撑业务应用: 这些应用在组织的日常运营中提供辅助功能,如人力资源管理系统、内部协作平台等。对这类应用的安全性要求较高,安全漏洞可能导致员工信息泄露、机密文件泄露或内部混乱。
其他业务应用: 这些应用是组织运营中的其他业务系统,对运营的重要性相对较低。例如,企业的客户关系管理系统、会议管理系统等。对这类应用的安全性要求适度,需要保障数据的完整性和可用性,但对机密性和攻击风险的关注程度相对较低。
定期进行渗透测试
对于云上业务来说,渗透测试是保障应用安全的一个重要方面。渗透测试是一种模拟真实攻击的黑盒安全测试,通过模拟攻击者的行为,帮助企业发现应用存在的安全隐患,从而有效地减少未知的安全风险,提高应用的安全性。同时,渗透测试不应该只是一次性的,而应该是定期进行的。随着企业应用的不断更新迭代,使用的新技术、新组件会带来新的安全风险;另一方面,攻击者的恶意访问手段总是不断进化。以上两个现实情况导致了应用安全持续遭到挑战,即使应用在某一时期内通过了渗透测试,也不能确保永远处在一个安全的状态。
阿里云提供了先知(安全众测)服务,通过加入先知平台,企业可以自主设置高、中、低危漏洞的奖励金额和奖励范围,通过平台众多可靠的白帽子来及时发现应用系统中存在的安全问题,包括业务应用逻辑漏洞、权限问题等安全工具无法有效检测的漏洞,并给出修复方案,帮助企业修复这些漏洞。渗透测试的服务流程如下:
定期的漏洞检测和评估
漏洞是指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统或者应用。漏洞检测和评估旨在发现应用中存在的安全漏洞,并评估其对应用安全性的影响,帮助企业及时修复漏洞,提高应用的安全性。漏洞检测分为自动化工具和人工发现两种,自动化工具只能检测常见的已知的漏洞,存在误报和漏报,也无法深入考量在企业业务场景下的修复建议。针对人工漏洞检测,阿里云提供安全管家服务,根据企业安全需求,定制化实行漏洞检测方案,由安全专家从应用系统及组件和应用代码两个方面检测安全漏洞,制定修复方案。
另一方面,针对自动化漏洞检测,阿里云提供云安全中心服务,从Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞、应用漏洞、应急漏洞五个类别,通过OVAL规则、Web扫描器、软件成分分析、POC验证等手段,检测识别应用系统中存在的漏洞,并提供对应的修复建议。
应用安全保护
应用安全的第一道防线是保护,从企业和阿里云两个角度,双方都需要做好应用安全保护的工作。 从企业角度来说,企业需要在应用开发之初就遵循一定的安全开发策略,尽量缩小攻击面。如,应用通信使用安全通信协议代替明文协议、对重要敏感数据使用加密算法存储、应用返回统一定制化错误页面、核心代码封装防篡改、前后端分离防止暴露后台地址等。
阿里云有着十年以上的安全攻防经验,有着诸如淘宝、天猫、支付宝等大量成功应用案例。从阿里云应用安全防护的角度,可分为网站和移动应用(APP)安全保护。
网站应用安全
网站应用安全,阿里云有着四大安全产品支柱,分别从流量安全、DDoS安全、应用安全、主机安全四个维度形成云安全体系,分别对应云防火墙、DDoS防护、Web应用防火墙、云安全中心。 云防火墙通过检测网络流量识别恶意攻击行为,包含互联网边界防火墙、VPC边界防火墙、主机边界防火墙,三者配合使用可统一监控数据访问行为,精细化管理互联网、VPC、主机间的访问控制策略,形成互联网边界-虚拟网络边界-主机边界三层纵深防御体系。
DDoS防护包含多款子产品,结合阿里云多年DDoS攻防经验,满足企业各类DDoS防护场景的需求。DDoS原生防护在不改变业务架构的前提下直接为企业应用大幅提升DDoS防护能力,最高可提供Tbps级别原生防护能力。DDoS高防(新BGP&国际)属于阿里云提供的DDoS攻击代理防护服务,通过修改DNS解析将业务应用的访问流量调度到DDoS高防清洗中心,为中国内地提供超过8 Tbps、非中国内地提供超过2 Tbps的海量防御带宽资源。
Web应用防火墙对网站业务流量进行恶意特征识别和防护过滤,只保留正常安全的流量回源到源站应用,从而避免网站应用被恶意入侵导致安全问题,保护业务应用安全和数据安全。具体来说,Web应用防火墙覆盖大部分常见Web应用攻击,具有精准访问控制、扫描防护、CC防护、Bot管理、区域封禁、自定义响应等功能,能满足多行业、多业务场景的应用安全防护需求。
云安全中心关注多云场景下的主机、容器、虚拟机等工作负载的安全防护,提供云上资产管理、配置核查、主动防御、安全加固、云产品配置评估和安全可视化等核心能力,同时结合云上海量日志、分析模型和超强算力,构建了云上强大的安全态势感知的综合能力平台,可有效发现和阻止病毒传播、黑客攻击、勒索加密、漏洞利用、AK泄露、挖矿等风险事件,帮助企业全方位提高安全应急响应能力。
移动应用安全
随着移动应用的普及和越来越多的用户的敏感数据在其中的存储,保护移动应用的安全性变得尤为重要。安全漏洞和攻击威胁可能导致用户数据泄露、个人隐私暴露、金融损失以及身份盗窃等风险。阿里云提供多种安全服务SDK,企业移动应用客户端通过调用SDK接口向对应云安全服务发起请求,云服务端执行安全防护流程后返回响应,移动应用客户端向移动应用服务端提交响应继续业务流程。举例说明,阿里云安全认证服务,提供轻量级的多重认证接入服务,帮助企业实现账户密码防护和无密码认证,提高用户认证体验和安全性。阿里云移动应用加固,从防护移动应用的反编译和逆向工程着手,Android应用通过APK/AAB包加固、类安全加固,IOS应用通过控制流平坦化、分支伪造、花指令及坏指令、指针加密等加固,有效提高移动应用被逆向破解的难度。
开发安全培训
应用开发阶段建议围绕开发人员进行开发安全培训,安全培训也是SDL流程的起点,通过安全培训可以有效的在开发阶段避免一些常规问题,再配合后期的业务安全测试、渗透测试,能够有效缩短开发周期,保障开发上线安全。
开发安全培训通常有标准的培训内容和课程,对于企业而言开发安全培训应该遵循以下几点:
明确开发安全红线,了解哪些该做,哪些不该做,通过红线来明确开发安全的边界;
制定开发安全培训的流程,通过建立认证机制,确保开发工程师有主观能动性进行培训课程的学习和理解;
高危漏洞等定期进行案例的培训和分享;
制定开发安全规范、代码规范等合规检查。
针对开发安全的培训内容,建议重点关注以下内容:
序号 | 开发关注点 | 安全风险 |
1 | 命令注入/执行 | 服务器被入侵 |
2 | 代码注入/执行 | 机密数据被窃取、服务器被入侵 |
3 | SSRF(服务端请求伪造攻击) | 内网敏感信息泄露 服务器被入侵 内网探测 |
4 | 反序列化漏洞 | 服务器被入侵 |
5 | SQL注入 | 敏感数据大批量泄露 拖库 |
6 | 任意URL重定向 | 钓鱼 诈骗 敏感信息泄露 |
7 | XSS(跨站脚本攻击) | 登录仿冒 敏感信息泄露 敏感操作执行 |
8 | CSRF(客户端请求伪造攻击) | 敏感操作执行 |
9 | 登录接口爆破 | 服务器入侵 |