Как защитить платформу как сервис (PaaS)?

Используете ли вы PaaS для своих приложений, но не знаете, как их защитить??


Платформа как услуга (PaaS) – это модель облачных вычислений, которая предоставляет платформу, на которой клиенты могут разрабатывать, защищать, запускать и управлять веб-приложениями. Он обеспечивает оптимизированную среду, в которой группы могут разрабатывать и развертывать приложения, не покупая и не управляя базовой ИТ-инфраструктурой и сопутствующими услугами..

Как правило, платформа предоставляет необходимые ресурсы и инфраструктуру для поддержки полного жизненного цикла разработки и развертывания программного обеспечения, обеспечивая при этом разработчикам и пользователям доступ из любого места через Интернет. Преимущества PaaS включают в себя, помимо прочего, простоту, удобство, более низкие затраты, гибкость и масштабируемость..

Как правило, защита PaaS отличается от традиционного локального центра обработки данных, как мы увидим.

Среда PaaS опирается на модель общей безопасности. Поставщик защищает инфраструктуру, а клиенты PaaS несут ответственность за защиту своих учетных записей, приложений и данных, размещенных на платформе. В идеале безопасность переходит от локальной модели безопасности к периметру идентификации.

Это означает, что клиент PaaS должен уделять больше внимания идентификации в качестве основного периметра безопасности. Вопросы, на которые следует обратить внимание, включают защиту, тестирование, код, данные и конфигурации, сотрудников, пользователей, аутентификацию, операции, мониторинг и журналы..

Это много нужно сделать. Разве это не?

Не волнуйся; позвольте мне пошагово вести вас.

Защита приложений от распространенных и неожиданных атак

Одним из лучших подходов является развертывание решения для автоматической защиты в режиме реального времени с возможностью быстрого и автоматического обнаружения и блокирования любой атаки. Абоненты PaaS могут использовать инструменты безопасности, предоставляемые на платформе, или искать сторонние варианты, соответствующие их требованиям..

Идеальный инструмент должен обеспечивать защиту в режиме реального времени при автоматическом обнаружении и блокировании несанкционированного доступа, атак или нарушений.

Источник: comodo.com

Он должен иметь возможность проверять наличие необычных действий, злонамеренных пользователей, подозрительных входов в систему, плохих ботов, захвата учетных записей и любых других аномалий, которые могут привести к компрометации. Помимо использования инструментов, необходимо встроить безопасность в приложение, чтобы оно имело защиту.

Защита учетных записей пользователей и приложений

Каждая точка взаимодействия обычно является потенциальной поверхностью атаки. Лучший способ предотвратить атаки – уменьшить или ограничить уязвимость приложений и ресурсы, к которым могут обращаться недоверенные пользователи. Также важно регулярно и автоматически исправлять и обновлять системы безопасности, чтобы уменьшить уязвимости.

Хотя поставщик услуг защищает платформу, клиент несет более значительную ответственность за защиту учетной записи и приложений. Это означает, что использование набора стратегий безопасности, таких как сочетание встроенных функций безопасности платформы, надстроек и сторонних инструментов, улучшает защиту учетных записей, приложений и данных. Кроме того, он обеспечивает доступ к системе только авторизованным пользователям или сотрудникам..

Еще одна мера – свести к минимуму количество сотрудников с правами администратора при создании механизма аудита для выявления рискованных действий внутренних групп и авторизованных внешних пользователей..

Администраторы также должны применять минимальные привилегии пользователя. При таком подходе пользователи должны иметь только те минимальные привилегии, которые позволяют им запускать приложения или выполнять другие роли должным образом. Это уменьшает поверхность атаки, злоупотребление правами доступа и уязвимость привилегированных ресурсов..

Сканирование приложения на наличие уязвимостей

Выполните оценку риска, чтобы определить, есть ли какие-либо угрозы безопасности или уязвимости в приложениях и их библиотеках. Используйте полученные данные для улучшения защиты всех компонентов. В идеале, установите регулярное сканирование и запланируйте его ежедневное автоматическое выполнение или любой другой интервал в зависимости от чувствительности приложения и потенциальных угроз безопасности..

Если возможно, используйте решение, которое может быть интегрировано с другими инструментами, такими как коммуникационное программное обеспечение, или имеет встроенную функцию, чтобы предупредить соответствующих людей, когда оно идентифицирует угрозу безопасности или атаку.

Тестируйте и устраняйте проблемы безопасности в зависимостях

Обычно приложения будут зависеть как от прямых, так и от косвенных зависимостей, которые в основном имеют открытый исходный код. Любые недостатки в этих компонентах могут привести к появлению уязвимостей в приложении, если их не устранить..

Хорошей практикой является анализ всех внутренних и внешних компонентов приложений, выполнение тестов на проникновение API, проверка сторонних сетей и многое другое. Некоторые из эффективных способов исправления уязвимостей включают обновление или замену зависимости на безопасную версию, исправление и т. Д..

Snyk стоило бы пытаться отслеживать недостатки безопасности в зависимостях.

Провести тестирование на проникновение и моделирование угроз

Проверка на проницаемость помогает выявлять и устранять дыры в безопасности или уязвимости, прежде чем злоумышленники смогут их найти и использовать. Поскольку тесты на проникновение обычно агрессивны, они могут выглядеть как DDoS-атаки, и важно координировать свои действия с другими группами безопасности, чтобы избежать создания ложных тревог.

Моделирование угроз включает в себя моделирование возможных атак, исходящих из надежных границ. Это помогает проверить, есть ли недостатки проекта, которые могут использовать злоумышленники. Моделирование позволяет ИТ-командам получать сведения об угрозах, которые они могут использовать для повышения безопасности и разработки контрмер для устранения выявленных недостатков или угроз..

Мониторинг деятельности & доступ к файлу

Мониторинг привилегированных учетных записей позволяет командам безопасности получить представление и понять, как пользователи используют платформу. Это позволяет группам безопасности определять, имеют ли действия привилегированных пользователей потенциальные угрозы безопасности или проблемы соответствия.

Отслеживайте и регистрируйте действия пользователей с их правами, а также действия с файлами. При этом выявляются такие проблемы, как подозрительный доступ, модификации, необычные загрузки или выгрузки и т. Д. Мониторинг активности файлов должен также предоставлять список всех пользователей, которые обращались к файлу в случае необходимости расследовать нарушение..

Правильное решение должно обладать способностью выявлять внутренние угрозы и пользователей с высоким риском путем поиска таких проблем, как одновременный вход в систему, подозрительные действия и множество неудачных попыток входа в систему. Другие индикаторы включают вход в неурочные часы, загрузку или выгрузку подозрительных файлов и данных и т. Д. По возможности автоматические меры по смягчению блокируют любую подозрительную активность и предупреждают группы безопасности о расследовании нарушения, а также устраняют любые уязвимости безопасности..

Безопасные данные в покое и в пути

Рекомендуется шифровать данные во время хранения и при передаче. Защита каналов связи предотвращает возможные атаки «человек посередине», когда данные передаются через Интернет..

Если это еще не сделано, внедрите HTTPS, включив сертификат TLS для шифрования и защиты канала связи и, следовательно, передаваемых данных..

Всегда проверяйте данные

Это гарантирует, что входные данные имеют правильный формат, действительный и безопасный.

Все данные, будь то от внутренних пользователей или внешних групп безопасности доверенных и ненадежных источников, должны обрабатывать данные как компоненты высокого риска. В идеале, выполнять проверку на стороне клиента и проверки безопасности перед загрузкой данных, чтобы гарантировать, что только чистые данные проходят через блокировку скомпрометированных или зараженных вирусом файлов..

Код безопасности

Анализ кода на наличие уязвимостей в течение жизненного цикла разработки. Это начинается с начальных этапов, и разработчики должны развертывать приложение в рабочей среде только после подтверждения того, что код безопасен.

Обеспечить многофакторную аутентификацию

Включение многофакторной аутентификации добавляет дополнительный уровень защиты, который повышает безопасность и гарантирует, что только авторизованные пользователи имеют доступ к приложениям, данным и системам. Это может быть комбинация пароля, OTP, SMS, мобильных приложений и т. Д..

Принять строгую политику паролей

Большинство людей используют слабые пароли, которые легко запомнить и никогда не могут изменить их, если их не принуждать. Это риск для безопасности, который администраторы могут минимизировать, применяя надежные политики паролей..

Это должно требовать надежных паролей, срок действия которых истекает через установленный период. Еще одной связанной мерой безопасности является прекращение хранения и отправки учетных данных в виде простого текста. В идеале шифруйте токены аутентификации, учетные данные и пароли.

Используйте стандартную аутентификацию и авторизацию

Рекомендуется использовать стандартные, надежные и проверенные механизмы и протоколы аутентификации и авторизации, такие как OAuth2 и Kerberos. Несмотря на то, что вы можете разработать собственные коды аутентификации, они подвержены ошибкам и уязвимостям, следовательно, могут подвергать системы злоумышленникам..

Ключевые процессы управления

Используйте надежные криптографические ключи и избегайте коротких или слабых ключей, которые могут предсказать злоумышленники. Кроме того, используйте механизмы безопасного распространения ключей, регулярно меняйте ключи, всегда обновляйте их вовремя, отзывайте их при необходимости и избегайте жесткого кодирования их в приложениях..

Использование автоматической и регулярной ротации ключей повышает безопасность и соответствие требованиям, одновременно ограничивая количество зашифрованных данных, подверженных риску..

Управление доступом к приложениям и данным

Разрабатывайте и применяйте управляемую и проверяемую политику безопасности со строгими правилами доступа. Лучший подход – предоставить уполномоченным сотрудникам и пользователям только необходимые права доступа и не более.

Это означает назначение правильных уровней доступа только тем приложениям и данным, которые необходимы им для выполнения своих обязанностей. Кроме того, должен проводиться регулярный мониторинг того, как люди используют назначенные права, и отменять права, которыми они либо злоупотребляют, либо не требуют.

Текущая операция

Есть несколько вещей, которые нужно сделать.

  • Постоянное тестирование, регулярное обслуживание, исправление и обновление приложений для выявления и устранения возникающих уязвимостей и проблем с соответствием.
  • Создание механизма аудита активов, пользователей и привилегий. Затем группы безопасности должны регулярно проверять их, чтобы выявлять и решать любые проблемы в дополнение к отзыву прав доступа, которые пользователи используют не по назначению или не требуют.
  • Разработайте и разверните план реагирования на инциденты, в котором показано, как устранять угрозы и уязвимости. В идеале план должен включать технологии, процессы и людей.

Собирать и анализировать журналы автоматически

Приложения, API и системные журналы предоставляют много информации. Развертывание автоматического инструмента для сбора и анализа журналов предоставляет полезную информацию о том, что происходит. Чаще всего службы ведения журналов, доступные как в виде встроенных функций, так и сторонних надстроек, отлично подходят для проверки соответствия политикам безопасности и другим правилам, а также для аудита..

Используйте анализатор логов, который интегрируется с системой оповещения, поддерживает технические стеки ваших приложений, предоставляет панель мониторинга и т. Д..

Сохраняйте и просматривайте контрольный журнал

Рекомендуется хранить контрольный журнал действий пользователей и разработчиков, таких как успешные и неудачные попытки входа в систему, изменения пароля и другие события, связанные с учетной записью. Автоматическая функция может использовать счетчики для защиты от подозрительных и небезопасных действий..

Контрольный журнал может быть полезен для расследования в случае нарушения или подозрения в атаке.

Вывод

Модель PaaS устраняет сложность и стоимость покупки, управления и обслуживания аппаратного и программного обеспечения, но возлагает ответственность за защиту учетных записей, приложений и данных на клиента или подписчика. Это требует подхода, ориентированного на идентичность, который отличается от стратегий, которые компании используют в традиционных локальных центрах обработки данных..

Эффективные меры включают в себя обеспечение безопасности приложений, обеспечение адекватной внутренней и внешней защиты, а также мониторинг и аудит действий. Оценка журналов помогает выявить уязвимости безопасности, а также возможности улучшения. В идеале группы безопасности должны стремиться к устранению любой угрозы или уязвимости на ранней стадии, прежде чем злоумышленники увидят и используют их..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map