顾名思义,云服务是一个通用术语,用于描述通过云提供的按需服务。这些服务被授予客户和组织,他们可以访问他们的应用程序、工作负载和其他资源,而不需要专门的硬件或内部基础设施。用户可以执行的常见任务包括访问他们的电子邮件、处理协作文档、请求技术支持等。几乎所有的员工都依赖某种云计算服务。
此外,云服务由云服务提供商管理。因此,用户可以轻松地、负担得起地访问他们需要的信息,而无需承担复杂的供应和管理负担。
对于许多组织来说,云服务很有吸引力,因为它们可以很容易地扩展以支持和服务不断增长的用户群。由于云服务提供商负责技术背后的硬件和云基础设施,公司可以最大限度地减少资源浪费,并让他们的IT人员从事更有价值的项目,而不是云服务供应活动。
可以在一天中多次访问各种云服务,而不需要用户明确知道他们正在使用云计算服务。常见的例子云服务包括基于web的服务(如电子邮件)、办公套件、协作驱动器和文档(如谷歌驱动器和谷歌文档)、数据和备份存储等。
此外,云服务也紧密地联系在一起作为服务云产品.即,软件即服务(SaaS)、平台即服务(PaaS)和基础设施即服务(IaaS)是最常见的。
虽然这三种服务都得到了广泛的应用,但SaaS是最普遍认可的面向用户的服务。SaaS是一种基于软件的模型,它通过网络托管应用程序。应用程序和数据由组织管理,而其他部分(包括服务器、存储、网络等)由云提供商管理。SaaS的例子包括谷歌Apps、Dropbox、Salesforce、思科WebEx、微软Office 365和Workday。
另一个极端是PaaS,描述通过互联网提供的硬件和软件工具。开发人员最经常使用PaaS来构建他们的软件和应用程序,而不是购买昂贵的基础设施或从头开始编写他们自己的复杂、耗时的代码。Amazon Web Services (AWS) Elastic Beanstalk、Microsoft Azure和Magento Commerce Cloud都是PaaS的例子。
最后,“基础架构即服务”(IaaS)利用互联网提供支持操作和虚拟资源。在这个模型中,云提供商负责托管基础设施,基础设施还包括硬件、服务器、管理程序和其他层。两个最著名的IaaS例子包括Amazon Web Services (AWS)和Microsoft Azure。
云服务提供几个优势企业认为有吸引力的地方包括:
企业可以通过依赖云计算服务(而不是物理服务器)、软件成本和数据中心专用IT专家的数量来减少甚至消除数据中心的占地面积。
云服务提供了极好的成本节约效益。与传统的数据中心方法相比,云服务提供了一种更灵活的消费模式,允许组织只为他们需要的服务器和基础设施付费。在休息期间,这些资源可以在以后更需要的时候使用。
因为云服务是由云提供商管理的,所以企业不需要担心自己维护正常运行时间。相反,他们可以把注意力和资源集中在其他活动上。只要可以访问Internet,员工就可以从世界上几乎任何地方访问他们的数据和应用程序。
如今的劳动力是移动的,而且大部分是远程的,因此云服务需要让数据和应用程序无论如何都可用。云服务意味着员工可以在任何地点和任何设备上工作,包括手机和平板电脑。
最后,基于云的服务极大地改善了协作。远程团队可以跨单个虚拟平台工作,实时共享详细信息,并通过共享的云存储系统工作。此外,这种协作的好处意味着对物理数据中心的依赖降低,创造更多的“绿色”业务。
如今,当涉及到应用程序安全产品时,组织有几种选择,但大多数都属于两类之一:安全测试工具和安全“屏蔽”工具,前者是一个成熟的市场,用于分析应用程序安全性的状态,后者用于保护和加固应用程序,使漏洞更难执行。
在安全测试产品的主题下,还有更有限的类别。首先,我们有静态应用程序安全性测试它在应用程序开发过程中监督特定的代码点,帮助开发人员确保他们在开发过程中不会无意中创建安全漏洞。
第二,有动态应用程序安全性测试,它可以检测运行代码中的安全漏洞。这种方法可以模拟对生产系统的攻击,并帮助开发人员和工程师防御更复杂的攻击策略。静态测试和动态测试都很有吸引力,因此第三种测试的出现也就不足为奇了——交互式测试——它结合了两者的优点。
最后,正如其名称所暗示的那样,移动应用程序安全性测试可以检测移动环境中的漏洞。这种方法的独特之处在于,它可以研究攻击者使用移动操作系统来破坏系统和运行在系统中的应用程序的方式。
让我们看看应用程序的“屏蔽”。如前所述,这类工具旨在“保护”应用程序免受攻击。虽然这听起来很理想,但这是一个不太成熟的实践,特别是与测试工具相比。尽管如此,下面是这一系列工具中的主要子类别。
首先,我们有运行时应用程序自我保护(RASP)它结合了测试和屏蔽策略。这些工具监视桌面和移动环境中的应用程序行为。RASP服务通过频繁的警告让开发人员了解应用程序安全的最新状态,如果整个系统受到威胁,它甚至可以终止应用程序。
第二个和第三个,代码/应用模糊加密/反篡改软件是本质上具有相同目的的两类软件:防止网络犯罪分子破坏应用程序的代码。
最后,威胁检测工具负责分析应用程序运行的环境。这类工具可以评估该环境的状态,检测潜在的威胁,甚至可以通过唯一的设备“指纹”检查移动设备是否被入侵。