在本文中，我将讨论三种不同的策略，企业可以用这三种策略来最大限度地提高基于云的应用的安全性，预防可怕的安全漏洞。

发现并修复安全漏洞

确保基于云的应用的安全性，第一种方法是，尽可能多地去发现并处理所有可能的漏洞。许多技术可以用来发现应用中的安全漏洞，如手动的或自动的源代码审查 ，污点分析，网络扫描， 模糊测试 ，故障注入或者符号执行。然而，要想找出Web应用中的软件漏洞，并不是所有这些技术都同样适用。对于基于云的应用来说，如操作系统或者虚拟机管理程序 ，则要考虑应用本身的漏洞以及较低层的漏洞。因此，最好采用渗透测试服务来检查应用，并且针对发现的所有漏洞，做一份安全报告。

一定要记住：即使经过了安全审查，也有可能仍然存在零日攻击漏洞。不过，审查过程可以消除最为关键的漏洞。

避免安全漏洞被成功利用

要想最大限度地提高云应用的安全性，第二个策略是：不处理新发现的应用漏洞，而是预防现有的漏洞被利用。有多种技术和工具，可以预防漏洞被成功利用，包括：

• 防火墙 -防火墙可以用来阻止访问某些DMZ 边界的端口，并成功地阻止攻击者通过网络或者DMZ访问易受攻击的应用。

• 入侵检测 (IDS)/ 入侵防御 (IPS)系统 -通过使用IDS / IPS，企业可以在攻击有机会到达目标应用之前，找到已知的攻击模式并且阻止攻击。

• Web应用防火墙(WAF) -WAF可以用来查找应用层的恶意模式。可以检测到漏洞，如SQL注入 ，跨站点脚本和路径遍历。有两种类型的WAF软件方案可供选择：黑名单或者白名单。黑名单WAF只能拦截已知的恶意请求，而白名单WAF默认拦截所有可疑的请求。当使用黑名单时，很容易重新建立请求，因此，就算不出现在黑名单中，该请求也绝对不会绕过白名单。尽管使用白名单更加安全，但是需要更多的时间来完成设置，因为必须手动将所有有效的请求编入白名单中。如果组织愿意花费时间建立WAF，企业的安全性可能会提高。运行Nginx Web服务器的企业应该考虑开源Naxsi Web应用防火墙，使用白名单来保护应用。

• 内容分发网络(CDN)——CDN使用域名系统 (DNS)将内容分发到整个互联网的多个数据中心，使网页加载速度更快。 当用户发送DNS请求时，CDN返回一个最接近于用户位置的IP。 这不仅会使网页的加载速度更快，也可以使系统免受拒绝服务的攻击。通常情况下，CDN还可以开启其他保护机制，如WAF，电子邮件保护，监测正常运行时间和性能，谷歌Analytics(分析)。

(责任编辑：)