24、云应用安全与防护技术解析

云应用安全与防护技术解析

1. 云应用安全现状

云计算环境下，不同服务模型的应用安全状况存在差异。在IaaS模型中，通过允许来自可信IP地址的流量、运行杀毒程序以及应用安全补丁等方式来强化平台，从而提供保护相对直接。然而，对于PaaS和SaaS模型，情况并非如此，因为在这些模型中，确保平台安全是服务提供商的责任。并且，在SaaS中，数据的存储和安全保障方式缺乏透明度和可见性，这使得企业难以信任服务提供商。

云应用安全涵盖了软件开发生命周期中为减少漏洞和缺陷所采取的措施和实践。由于基于云的应用直接连接到互联网，与传统数据中心和服务提供商相比，云提供的物理安全性较低。此外，云的混合数据和多租户特性使云应用更容易受到额外的攻击向量的影响。

近年来的安全事件表明，利用软件漏洞进行的攻击使Web应用成为主要目标。从攻击者的角度来看，Web应用是最简单且最有利可图的攻击目标。特别是在云计算环境中，应用通过用户浏览器访问，网站安全是阻止攻击的唯一手段。而且，利用应用和Web服务进行的安全漏洞攻击后果严重，会导致巨大损失。例如，“震网”病毒旨在影响关键物理基础设施和工业控制系统；利用SQL注入窃取借记卡/信用卡号码，最终导致全球ATM机100万次取款。

尽管应用安全至关重要，但在许多企业中却被视为事后考虑的问题。也就是说，应用安全很少成为安全从业者和企业的首要任务和主要关注点，并且分配给它的安全预算也较少。因此，企业需要从业务层面增加对应用安全的预算投入，安全团队也应更加专注于保护Web应用这一业务中最易受攻击的组件。

2. 代码混淆与软件多样化技术

2.1 代码混淆

代码混淆是指故意打乱程序代码并进行转换，