云安全是一组用于保护托管在云中的数据和应用程序的策略和实践。与网络安全一样,云安全是一个非常广泛的领域,永远不可能阻止各种攻击。但是,精心设计的云安全策略可以大大降低网络攻击的风险。,即使存在这些风险,云计算通常也比本地计算更安全。大多数云提供商拥有比单个企业更多的资源来确保数据安全,这让云提供商可以让基础设施保持最新并尽快修补漏洞。另一方面,单个企业可能没有足够的资源来始终如一地执行这些任务。注意:云安全与安全即服务(SECaaS 或 SaaS)不同,后者是指托管在云中的安全产品。,, 主要的云安全风险是什么?,大多数云安全风险属于以下一般类别之一:,数据暴露或泄露,来自组织外部的未经授权的用户可以访问内部数据,内部授权用户对内部数据的访问权限过多,恶意攻击(例如DDoS 攻击或恶意软件感染)会削弱或破坏云基础架构,云安全策略的目标是通过保护数据、管理用户身份验证和访问以及在面对攻击时保持正常运行,尽可能减少这些风险带来的威胁。, 云安全有哪些关键技术?,云安全策略应包括以下所有技术:,加密: 加密是一种对数据进行加扰的方式,以便只有授权方才能理解信息。如果攻击者侵入公司的云并找到未加密的数据,他们就可以对数据进行任意数量的恶意操作:泄露、出售、使用它进行进一步的攻击等。但是,如果公司的数据是加密后,攻击者只会找到无法使用的加密数据,除非他们以某种方式发现解密密钥(这几乎是不可能的)。通过这种方式,加密有助于防止数据泄露和暴露,即使其他安全措施失败。,数据可以在静态(存储时)或传输中(从一个地方发送到另一个地方)进行加密。云数据应在静态和传输中加密,以便攻击者无法拦截和读取它。加密传输中的数据应该解决在云和用户之间传输的数据,以及从一个云到另一个云的数据传输,如在多云或混合云环境中。此外,当数据存储在数据库中或通过云存储服务时,应加密数据。,如果多云或混合云环境中的云在网络层连接,VPN可以加密它们之间的流量。如果它们在应用层连接,则应使用 SSL/TLS 加密。SSL / TLS还应该加密用户和云之间的流量。,身份和访问管理 (IAM): 身份和访问管理 (IAM)产品跟踪用户是谁以及允许他们做什么,并且它们授权用户并在必要时拒绝未经授权的用户访问。IAM 在云计算中非常重要,因为用户的身份和访问权限决定了他们是否可以访问数据,而不是用户的设备或位置。,IAM 有助于减少未经授权的用户访问内部资产和授权用户超出其权限的威胁。正确的 IAM 解决方案将有助于缓解多种攻击,包括帐户接管和内部攻击(当用户或员工滥用其访问权限以暴露数据时)。,IAM 可能包括几个不同的服务,或者它可能是结合了以下所有功能的单一服务:, 访问控制服务允许和限制用户访问,防火墙:一个云防火墙通过阻止恶意网络流量提供了围绕云资产的保护层。与托管在本地并保护网络外围的传统防火墙不同,云防火墙托管在云中,并在云基础设施周围形成虚拟安全屏障。大多数Web 应用程序防火墙都属于这一类。云防火墙阻止 DDoS 攻击、恶意机器人活动和漏洞利用。这减少了网络攻击破坏组织的云基础设施的机会。, 还有哪些其他做法对于保持云数据安全很重要?,仅靠实施上述技术(以及任何其他云安全产品)不足以保护云数据。除了标准的网络安全最佳实践之外,使用云的组织还应遵循以下云安全实践:,正确配置云服务器的安全设置:当公司没有正确设置其安全设置时,可能会导致数据泄露。配置错误的云服务器可以将数据直接暴露给更广泛的互联网。正确配置云安全设置需要团队成员是使用每个云的专家,并且可能还需要与云供应商密切合作。,跨所有云和数据中心的一致安全策略:安全措施必须适用于公司的整个基础架构,包括公共云、私有云和本地基础架构。如果公司的云基础设施的一个方面——比如他们用于大数据处理的公共云服务——没有受到加密和强大的用户身份验证的保护,那么攻击者更有可能找到并瞄准薄弱环节。,备份计划:与任何其他类型的安全性一样,必须有一个计划,以应对出现问题的情况。为防止数据丢失或被篡改,应将数据备份到另一个云或本地。还应该制定故障转移计划,以便在一项云服务发生故障时不会中断业务流程。多云和混合云部署的优势之一是可以使用不同的云作为备份——例如,云中的数据存储可以备份本地数据库。,用户和员工教育:很大一部分数据泄露的发生是因为用户受到网络钓鱼攻击、在不知情的情况下安装了恶意软件、使用过时且易受攻击的设备或密码卫生不佳(重复使用相同的密码,将密码写在可见位置等)。通过对内部员工进行安全教育,在云中运营的企业可以降低发生这些事件的风险。, ,云安全是一组用于保护托管在云中的数据和应用程序的策略和实践。与网络安全一样,云安全是一个非常广泛的领域,永远不可能阻止各种攻击。但是,精心设计的云安全策略可以大大降低网络攻击的风险。,数据暴露或泄露,
与暴露于互联网的所有网络一样,CDN 必须防御在途攻击、数据泄露,以及试图通过 DDoS 攻击压垮目标源服务器的网络的行为。CDN 可使用多种策略来缓解漏洞,包括适当的 SSL/TLS 加密和专门的加密硬件。,,什么是 SSL/TLS 加密?,传输层安全(TLS)是用于加密通过互联网发送的数据的协议。TLS 源于安全套接字层(SSL)(首个被广泛采用的 Web 加密协议),旨在是修复大多数早期协议的安全漏洞。出于历史原因,业界仍然在某种程度上互换使用这两个术语。如果您访问 web 站点地址开头为 https:// 而非 http://,那么该网站在浏览器和服务器之间进行的通信使用 TLS/SSL 加密。,为了防止攻击者访问重要数据,必须采取适当的加密方法。由于互联网的设计方式允许数据在许多位置之间传输,因此可以在含有重要信息的数据包在全球范围内传播时截获它们。通过使用加密协议,只有预期的接收者才能够解码和读取信息,防止中间人对所传输数据的内容进行解码。,TLS 协议设计为提供 3 个组件:,身份验证:验证所提供身份标识的有效性,加密:模糊化从一台主机发送到另一主机的信息,完整性:检测伪造和篡改,什么是 SSL 证书?,要启用 TLS,站点需要 SSL 证书和相应的密钥。证书是包含有关站点所有者以及非对称密钥对中公钥部分的信息的文件。证书颁发机构(CA)对证书进行数字签名,以核实证书中的信息正确无误。信任证书即表示,您信任证书颁发机构已进行了尽职调查。,操作系统和浏览器通常具有一份隐式信任的证书颁发机构名单。如果网站提供的证书是由不受信任的证书颁发机构签名的,则浏览器会警告访问者可能存在某种问题。,证书及其实施方式也可以根据强度、协议支持和其他特征进行独立评级。随着更新、更好的实施变得可用,或者其他因素导致认证实施的整体安全性降低,评级可能会不时变化。如果源服务器的 SSL 安全性实施比较旧且等级较低,那么其评级通常会比较差,而且容易受到破坏。,CDN 还有一个好处,使用 CDN 提供的证书可以为访问其网络内托管的资产的访问者提供安全保护。因为访问者仅连接到 CDN,所以源服务器和 CDN 之间使用较旧或较不安全的证书不会影响客户端的体验。,实际上,这种服务器至边缘安全的薄弱仍然是一种漏洞,应予以避免,特别是考虑到有可能使用免费源加密轻松升级源服务器安全性的情况。,适当的安全性对于有机搜索也很重要;加密的 Web 资产在 Google 搜索中的排名更高。,SSL/TLS 连接的运作不同于传统的 TCP/IP 连接。在完成了 TCP 连接的初始阶段后,就会发生单独的交换以建立安全连接。本文把请求安全连接的设备称为客户端,并把提供安全连接的设备称为服务器,就像用户加载使用 SSL/TLS 加密的网页时那样。,首先,通过 3 个步骤进行TCP/IP 握手:,1.客户端向服务器发送 SYN 数据包以发起连接。,2.服务器接着通过 SYN/ACK 数据包对着初始数据包做出响应,以便确认通信。,3.最后,客户端返回 ACK 数据包以确认接到服务器发出的数据包。完成这一系列数据包发送和接收操作后,TCP 连接将处于打开状态并且能够发送和接收数据。,完成 TCP/IP 握手后,开始 TLS 加密握手。TLS 握手实施背后的详细过程不在本指南的讨论范畴。我们重点探讨握手的核心目的,以及完成该过程所需的时间。,从高层次上讲,TLS 握手包含三个主要组成部分:,客户端与服务器协商 TLS 版本,以及通信中要使用的加密算法类型。,客户端和服务器采取相应步骤,以确保彼此进行真实的通信。,交换密钥,以用于以后的加密通信。,下图呈现了 TCP/IP 握手和 TLS 握手中涉及的每个步骤。请注意,每个箭头代表一个单独的通信,该通信必须在客户端和服务器之间进行物理传输。由于使用 TLS 加密时来回消息总数会增加,因此网页加载时间也会增加。,出于说明目的,可以说 TCP 握手大约需要 50 毫秒,TLS 握手可能需要大约 110 毫秒。这主要是由于数据在客户端和服务器之间双向发送所花费的时间。往返时间 (RTT)的概念,即信息从一个设备传输到另一个设备并返回所需的时间量,可用于量化创建连接的“昂贵”程度。如果不进行优化并且不使用 CDN,额外的 RTT 代表最终用户的延迟增加和加载时间减少。幸运的是,可以进行一些优化来改善总加载时间并减少来回旅行的次数。,如何改善 SSL 延迟?,SSL 优化可以减少 RTT 并缩短页面加载时间。下方列出了可以优化 TLS 连接的 3 种方式:,TLS 会话恢复:CDN 可以为其他请求恢复同一会话,使源服务器和 CDN 网络之间的连接保持更长的时间。当客户端需要进行未缓存的源获取时,使连接保持活动状态可以节省重新协商 CDN 与源服务器之间连接所花费的时间。只要源服务器在保持与 CDN 的连接的同时收到其他请求,该站点的其他访问者就会体验到较低的延迟。,会话恢复的总成本不到完整 TLS 握手的 50%,主要是因为会话恢复只需要一次往返,而完整的 TLS 握手需要两次。此外,会话恢复不需要任何大的有限域算法(新会话需要),因此与完整的 TLS 握手相比,客户端的 CPU 成本几乎可以忽略不计。对于移动用户而言,会话恢复带来的性能提升意味着更具反应性和电池寿命友好的冲浪体验。,启用 TLS 虚假启动:访问者首次访问网站时,上文所述的会话恢复将无济于事。TLS 虚假启动允许发送方无需进行完整的 TLS 握手,就能发送应用程序数据。,虚假启动不会修改 TLS 协议本身,只会改变数据传输的时间。一旦客户端开始密钥交换,加密确保会发生,数据传输就可开始。这一修改可减少往返总次数,将所需的延迟缩短 60 毫秒。,零往返时间恢复(0-RTT):0-RTT 允许会话恢复,而且不增加连接的RTT 延迟。对于使用TLS 1.3和0-RTT 的恢复连接,连接速度得以改善,从而为用户经常访问的网站带来了更快速、更流畅的Web...
代理的安全性最终归结为代理类型和服务器配置。用户在通过它参与 Web 活动之前,必须了解他们使用的特定代理是如何运行的。虽然代理服务通过隐藏用户的 IP 地址为用户提供一些隐私,但代理本身会记录这些信息以及浏览历史记录。根据代理的类型,这些数据可能会转发给外部各方,从而导致数据泄露。,,某些代理未配置加密,这意味着用户的在线活动以纯文本形式可供任何人查看。除非代理服务器设置另有说明,否则用户应假定代理未加密,并自行承担使用未加密代理的风险。私有代理比公共代理更安全,因为它们为用户提供独占访问权限,而不是对 Internet 上的任何人开放使用。通常,免费代理使用起来最不安全,因为它们具有开放访问权限并且通常未加密。, 使用代理服务器有什么好处?,代理服务器为用户提供了多种好处。需要注意的是,这些好处取决于代理的类型和配置。用户在使用代理之前应始终找出代理的特定功能。, 匿名浏览:匿名代理允许用户通过隐藏其 IP 地址来匿名浏览网页。, 安全性:某些代理服务器类型(例如,HTTPS 代理)可以配置为通过加密提供安全连接。组织可以使用透明代理来阻止某些被标记为恶意软件的网站。SMTP 代理可以阻止恶意电子邮件(例如网络钓鱼攻击)到达员工收件箱。通过阻止可疑和重复的请求,反向代理可有效帮助组织防止分布式拒绝服务 (DDoS) 攻击和中间人 (MITM) 攻击。, 网络过滤:组织经常使用透明代理来限制员工访问某些网站。透明代理还记录用户活动,允许组织监控员工在工作中的互联网使用情况。,, 缓存:代理服务器可以通过缓存流行的网站来加速数据传输并节省带宽。当用户通过代理向服务器请求数据时,代理将首先检查其数据库中是否有可用的缓存副本。缓存数据减少了来自代理服务器的 Web 请求数量,从而使用户更快地检索数据。反向代理服务器通常用于负载平衡,它将用户请求均匀地分布在服务器上以提高速度。, 更改地理位置:组织可以使用轮换代理进行基于 Internet 的营销活动,其中数据依赖于地理位置。此类活动可能包括价格汇总、网络抓取、市场研究和 SEO。, 使用代理服务器有哪些风险?,与通过 Internet 运行的任何第三方服务一样,代理服务器也存在网络风险。用户应了解与代理相关的常见风险,以决定它们是否适合用途。, 缺乏加密:除非代理配置了加密,否则它将通过不安全的连接运行。攻击者可以通过不安全的代理轻松拦截通信,这意味着任何敏感数据(如用户名和密码)都有被泄露的风险。不安全的连接也使用户面临身份盗窃等数据泄露的高风险。用户应确保他们使用加密代理以最大限度地提高网络安全性。, 数据记录:代理服务器存储用户的 IP 地址以及他们的 Web 请求数据。一些代理不加密此信息,并且根据服务的不同,甚至可能将数据出售给其他方——再次使用户面临数据泄露的风险。用户在使用代理之前应始终阅读条款和条件。,, 开放端口:大多数代理在开放端口上运行,可以通过安全漏洞加以利用。开放端口也会增加安全风险,因为它们会增加组织的攻击向量总数。, 速度不一致:免费代理容易受到流量过载的影响。服务器通常没有必要的带宽以保持速度同时为数千名用户提供服务,并且容易出现滞后现象。, 有限的隐私:虽然代理服务器隐藏了用户的 IP 地址,但这种隐私不一定超出 Web 请求。免费代理通常在不安全的网络和基于广告的收入模式上运行。这不仅意味着任何人都可以“监听”用户流量,而且这些广告通常会注入病毒或其他类型的恶意软件,这些恶意软件很容易渗透到设备中。, ,代理的安全性最终归结为代理类型和服务器配置。用户在通过它参与 Web 活动之前,必须了解他们使用的特定代理是如何运行的。虽然代理服务通过隐藏用户的 IP 地址为用户提供一些隐私,但代理本身会记录这些信息以及浏览历史记录。根据代理的类型,这些数据可能会转发给外部各方,从而导致数据泄露。, 匿名浏览:匿名代理允许用户通过隐藏其 IP 地址来匿名浏览网页。,