摘要：如今的大部分攻击正在向上移动。他们可能正在向上移动，因为应用程序所有者没有关注他们在云中的安全份额。

     如今的大部分攻击正在向上移动。他们可能正在向上移动，因为应用程序所有者没有关注他们在云中的安全份额。
　　
　　早在2010年，在云计算应用初期，安全性成为首要问题时，安全从业者克里斯•霍夫（ChrisHoff）发表了一份声明，应该更广泛地称为霍夫定律。这句话通常是直截了当指出，“如果你现在的安全性很糟糕，那么当你搬到云端时，你会惊讶于并没有改变。”
　　
　　而在8年之后，这种说法仍然是正确的，特别是当它应用于应用程序时。
　　
　　从一开始，云计算提供商就毫不掩饰地认为云中的安全性是一项共同的责任。云计算提供商只是在其环境的网络、基础设施和主机系统中部署工具，并实施策略。但是个人或组织需要负责保护应用程序——从平台到协议到实际代码。
　　
　　这是合乎逻辑的。云计算提供商对其部署和管理的系统有着深入的了解，但不了解用户的系统。反之亦然，用户对其所部署和管理的应用程序堆栈有深入的了解，但不一定了解云计算提供商的系统。
　　
　　近年来，云计算提供商提供的应用服务旨在为客户提供履行该职责所必需的保护。Web应用程序和网络防火墙等应用程序服务是当今云计算市场中的常见产品。安全相关应用程序服务的提供商也已加强，以确保每个主要云计算提供商的可用性。访问控制、身份联合、单点登录、Web应用程序防火墙、机器人防护和DDoS保护可在每个云计算环境中使用。
　　
　　但是，就像门上的锁一样，除非这些应用程序服务被实际使用（部署和激活），否则它们无法保护和保护用户的应用程序免受任何特定日期发生的攻击。
　　
　　在公共云中部署应用程序时，应该部署三个关键防御：
　　
　　（1）机器人防护：对当今“badbots”产生的50％以上的请求不仅是良好的安全性，而且是明智的商业决策。badbots会针对漏洞进行调查，执行DoS攻击，以及执行对业务无益的操作。当允许机器人流量与企业的应用程序连接时，就会浪费成本。机器人消耗的每个周期都是企业为客户无法使用而支付的周期。如果企业的应用程序需要多个实例来维持可用性和可接受的性能，请考虑支付的费用可能超过自己需要的两倍。Bot防御不仅可以主动阻止攻击并防止拒绝服务，还可以长期节省运营成本。
　　
　　攻击者很清楚他们正在被监视，因此请仔细考虑其僵尸程序保护服务，并确保它们不仅仅是简单的签名或基于声誉的解决方案。还有基于行为以及传统识别特征的Bot保护，能够指纹识别和识别机器人。
　　
　　（2）帐户收购：大量组织将面向消费者的应用程序部署到云中。易于访问是典型的驱动程序。可悲的是，如果它对消费者来说很容易，对攻击者来说也很容易。应用程序保护的数据很有价值，攻击者可以试图在相当规律的基础上获取访问权限。有了充斥着凭据的数据库，攻击者将试图通过将用户名和密码填入登录来强行进入，直到其中一个有效。防止这种常见攻击需要一些聪明才智和识别逃避技术的能力，以避免应用程序内置的验证码和其他保护措施。
　　
　　（3）应用层DDoS：由于网络层的成熟保护对抗大量DDoS攻击而受到阻碍，网络攻击者现在瞄准的是应用程序更软的目标。安全提供商CloudFlare公司指出，应用层攻击者的比率从2016年的每天160起上升到2017年的每天1000多起。应用层DDoS攻击特别令人沮丧，因为许多攻击似乎是合法请求，并且很容易逃避基于签名的解决方案。
　　
　　与指纹识别技术相结合的行为分析正在迅速成为抵御这些邪恶攻击的最佳方法。
　　
　　其他考虑
　　
　　此外，在云中运行时，不能低估开放式管理和管理控制台的风险。例如，Kubernetes的开放式控制台的数量会随着每个发布的安全报告而增长。对操作控制台的安全性缺乏关注是令人担忧的，特别是考虑到目前基于容器的应用程序的容器内安全性的不成熟状态。因此，企业需要锁好所有的门，确保不能通过后门提供免费计算和访问应用程序。
　　
　　云中的安全性是一项共同的责任。对于互联网状态来说，这可能是一个令人遗憾的评论，即大部分攻击正在向上移动，从而迫使应用程序所有者承担更大的负担以关注安全性。
　　
　　然后，也许他们正在向上移动堆栈，因为应用程序所有者并未关注他们在云中的安全份额。
　　
　　编辑：Harris