Làm thế nào để bảo mật nền tảng như một môi trường dịch vụ (PaaS)?

Bạn có đang sử dụng PaaS cho các ứng dụng của mình nhưng không chắc chắn cách bảo mật chúng?


Dịch vụ nền tảng (PaaS) là mô hình điện toán đám mây cung cấp nền tảng nơi khách hàng có thể phát triển, bảo mật, chạy và quản lý các ứng dụng web. Nó cung cấp một môi trường tối ưu hóa nơi các nhóm có thể phát triển và triển khai các ứng dụng mà không cần mua và quản lý cơ sở hạ tầng CNTT cơ bản và các dịch vụ liên quan.

Nói chung, nền tảng cung cấp các tài nguyên và cơ sở hạ tầng cần thiết để hỗ trợ toàn bộ vòng đời phát triển và triển khai phần mềm trong khi cho phép các nhà phát triển và người dùng truy cập từ bất cứ đâu qua internet. Lợi ích của PaaS bao gồm, nhưng không giới hạn, đơn giản, tiện lợi, chi phí thấp hơn, linh hoạt và khả năng mở rộng.

Thông thường, việc bảo vệ PaaS khác với trung tâm dữ liệu tại cơ sở truyền thống như chúng ta sẽ thấy.

Một môi trường PaaS dựa vào một mô hình bảo mật chia sẻ. Nhà cung cấp bảo vệ cơ sở hạ tầng trong khi khách hàng PaaS có trách nhiệm bảo vệ tài khoản, ứng dụng và dữ liệu của họ được lưu trữ trên nền tảng. Lý tưởng nhất là bảo mật chuyển từ mô hình bảo mật tại chỗ sang mô hình bảo mật nhận dạng.

Điều này có nghĩa là khách hàng PaaS phải tập trung nhiều hơn vào danh tính là chu vi bảo mật chính. Các vấn đề cần tập trung vào bao gồm bảo vệ, kiểm tra, mã, dữ liệu và cấu hình, nhân viên, người dùng, xác thực, vận hành, giám sát và nhật ký.

Điều đó rất nhiều việc phải làm. Nó không phải là nó?

Don mệnh lo lắng; Hãy để tôi hướng dẫn bạn từng bước.

Bảo vệ các ứng dụng khỏi các cuộc tấn công phổ biến và bất ngờ

Một trong những cách tiếp cận tốt nhất là triển khai giải pháp bảo vệ tự động theo thời gian thực với khả năng nhanh chóng và tự động phát hiện và chặn mọi cuộc tấn công. Người đăng ký PaaS có thể sử dụng các công cụ bảo mật được cung cấp trên nền tảng hoặc tìm kiếm các tùy chọn của bên thứ ba giải quyết các yêu cầu của họ.

Một công cụ lý tưởng sẽ cung cấp bảo vệ thời gian thực trong khi tự động phát hiện và chặn truy cập trái phép, tấn công hoặc vi phạm.

Nguồn: comodo.com

Nó nên có khả năng kiểm tra các hoạt động bất thường, người dùng độc hại, đăng nhập đáng ngờ, bot xấu, tiếp quản tài khoản và bất kỳ sự bất thường nào khác có thể dẫn đến thỏa hiệp. Ngoài việc sử dụng các công cụ, cần phải xây dựng bảo mật vào ứng dụng để nó có sự bảo vệ.

Bảo vệ tài khoản người dùng và tài nguyên ứng dụng

Mỗi điểm tương tác thường là một bề mặt tấn công tiềm năng. Cách tốt nhất để ngăn chặn các cuộc tấn công là giảm hoặc hạn chế sự phơi bày của các lỗ hổng ứng dụng và tài nguyên mà người dùng không tin cậy có thể truy cập. Điều quan trọng là thường xuyên và tự động vá và cập nhật các hệ thống bảo mật để giảm các điểm yếu.

Mặc dù nhà cung cấp dịch vụ bảo vệ nền tảng, khách hàng có trách nhiệm quan trọng hơn trong việc bảo vệ tài khoản và ứng dụng. Điều này có nghĩa là sử dụng một bộ các chiến lược bảo mật như kết hợp các tính năng bảo mật nền tảng sẵn có, các tiện ích bổ sung và các công cụ của bên thứ ba, tăng cường bảo vệ tài khoản, ứng dụng và dữ liệu. Ngoài ra, nó đảm bảo rằng chỉ những người dùng hoặc nhân viên được ủy quyền mới có thể truy cập hệ thống.

Một biện pháp khác là giữ cho số lượng nhân viên có quyền quản trị ở mức tối thiểu trong khi thiết lập một cơ chế kiểm toán để xác định các hoạt động rủi ro của các nhóm nội bộ và người dùng bên ngoài được ủy quyền.

Quản trị viên cũng nên thực thi các đặc quyền người dùng ít nhất. Với phương pháp này, người dùng chỉ nên có ít đặc quyền nhất cho phép họ chạy các ứng dụng hoặc thực hiện các vai trò khác đúng cách. Điều này làm giảm bề mặt tấn công, lạm dụng quyền truy cập và tiếp xúc với các tài nguyên đặc quyền.

Ứng dụng quét các lỗ hổng bảo mật

Thực hiện đánh giá rủi ro để xác định xem có bất kỳ mối đe dọa hoặc lỗ hổng bảo mật nào trong ứng dụng và thư viện của nó không. Sử dụng các phát hiện để cải thiện sự bảo vệ của tất cả các thành phần. Lý tưởng nhất là thiết lập quét thường xuyên và lên lịch để chạy tự động hàng ngày hoặc bất kỳ khoảng thời gian nào khác tùy thuộc vào độ nhạy của ứng dụng và các mối đe dọa bảo mật tiềm ẩn.

Nếu có thể, hãy sử dụng giải pháp có thể tích hợp với các công cụ khác như phần mềm giao tiếp hoặc có tính năng sẵn có để cảnh báo cho những người có liên quan bất cứ khi nào xác định được mối đe dọa bảo mật hoặc tấn công.

Kiểm tra và khắc phục các sự cố bảo mật trong phần phụ thuộc

Thông thường, các ứng dụng sẽ phụ thuộc vào cả phụ thuộc trực tiếp và gián tiếp, phần lớn là nguồn mở. Bất kỳ sai sót nào trong các thành phần này đều có khả năng giới thiệu các lỗ hổng bảo mật trong ứng dụng nếu không được xử lý.

Một thực hành tốt là phân tích tất cả các thành phần bên trong và bên ngoài của ứng dụng, thực hiện kiểm tra thâm nhập API, kiểm tra mạng của bên thứ ba và hơn thế nữa. Một số phương tiện hiệu quả để khắc phục các lỗ hổng bao gồm nâng cấp hoặc thay thế phụ thuộc bằng phiên bản bảo mật, vá lỗi, v.v..

Snyk sẽ đáng để cố gắng theo dõi các lỗ hổng bảo mật trong các phụ thuộc.

Thực hiện kiểm tra thâm nhập và mô hình mối đe dọa

Kiểm tra thâm nhập giúp xác định và giải quyết các lỗ hổng bảo mật hoặc lỗ hổng bảo mật trước khi kẻ tấn công có thể tìm và khai thác chúng. Bởi vì các kiểm tra thâm nhập thường rất tích cực, chúng có thể xuất hiện dưới dạng các cuộc tấn công DDoS và điều cần thiết là phối hợp với các nhóm bảo mật khác để tránh tạo ra các báo động sai.

Mô hình đe dọa liên quan đến việc mô phỏng các cuộc tấn công có thể xảy ra từ các ranh giới đáng tin cậy. Điều này giúp xác minh nếu có lỗi thiết kế mà kẻ tấn công có thể khai thác. Mô hình này trang bị cho các đội CNTT thông tin về mối đe dọa, họ có thể sử dụng để tăng cường bảo mật và phát triển các biện pháp đối phó để giải quyết bất kỳ điểm yếu hoặc mối đe dọa nào được xác định.

Giám sát hoạt động & truy cập file

Giám sát các tài khoản đặc quyền cho phép các nhóm bảo mật có được khả năng hiển thị và hiểu cách người dùng đang sử dụng nền tảng. Nó cho phép các nhóm bảo mật xác định xem các hoạt động của người dùng đặc quyền có rủi ro bảo mật tiềm ẩn hoặc các vấn đề tuân thủ.

Theo dõi và ghi lại những gì người dùng đang làm với quyền cũng như các hoạt động trên các tệp. Điều này tìm kiếm các vấn đề như truy cập đáng ngờ, sửa đổi, tải xuống hoặc tải lên bất thường, v.v. Giám sát hoạt động tệp cũng nên cung cấp danh sách tất cả người dùng đã truy cập tệp trong trường hợp cần điều tra vi phạm.

Một giải pháp phù hợp cần có khả năng xác định các mối đe dọa nội bộ và người dùng có rủi ro cao bằng cách tìm kiếm các vấn đề như đăng nhập đồng thời, các hoạt động đáng ngờ và nhiều lần thử đăng nhập thất bại. Các chỉ số khác bao gồm đăng nhập vào giờ lạ, tải xuống hoặc tải lên dữ liệu đáng ngờ, v.v. Khi có thể, các biện pháp giảm thiểu tự động sẽ chặn mọi hoạt động đáng ngờ và cảnh báo cho các nhóm bảo mật để điều tra vi phạm cũng như xử lý bất kỳ lỗ hổng bảo mật nào..

Bảo mật dữ liệu khi nghỉ ngơi và quá cảnh

Thực hành tốt nhất là mã hóa dữ liệu trong quá trình lưu trữ và khi quá cảnh. Việc bảo vệ các kênh liên lạc sẽ ngăn chặn các cuộc tấn công trung gian có thể xảy ra khi dữ liệu truyền qua Internet.

Nếu chưa, hãy triển khai HTTPS bằng cách cho phép chứng chỉ TLS mã hóa và bảo mật kênh liên lạc và do đó, dữ liệu truyền đi.

Luôn xác thực dữ liệu

Điều này đảm bảo rằng dữ liệu đầu vào ở định dạng chính xác, hợp lệ và an toàn.

Tất cả dữ liệu, cho dù từ người dùng nội bộ hoặc các nhóm bảo mật nguồn đáng tin cậy và không đáng tin cậy bên ngoài, đều cần coi dữ liệu là các thành phần có rủi ro cao. Lý tưởng nhất là thực hiện xác thực tại phía máy khách và kiểm tra bảo mật trước khi tải lên dữ liệu sẽ đảm bảo rằng chỉ có dữ liệu sạch mới đi qua trong khi chặn các tệp bị xâm nhập hoặc bị nhiễm vi-rút.

Mã bảo mật

Phân tích mã cho các lỗ hổng trong vòng đời phát triển. Điều này bắt đầu từ các giai đoạn ban đầu và các nhà phát triển chỉ nên triển khai ứng dụng vào sản xuất sau khi xác nhận rằng mã được bảo mật.

Thực thi xác thực đa yếu tố

Kích hoạt xác thực đa yếu tố sẽ thêm một lớp bảo vệ bổ sung giúp cải thiện bảo mật và đảm bảo rằng chỉ những người dùng được ủy quyền mới có quyền truy cập vào các ứng dụng, dữ liệu và hệ thống. Đây có thể là sự kết hợp của mật khẩu, OTP, SMS, ứng dụng di động, v.v..

Thực thi chính sách mật khẩu mạnh

Hầu hết mọi người sử dụng mật khẩu yếu, dễ nhớ và có thể không bao giờ thay đổi chúng trừ khi bị ép buộc. Đây là rủi ro bảo mật mà quản trị viên có thể giảm thiểu bằng cách thực thi các chính sách mật khẩu mạnh.

Điều này sẽ yêu cầu mật khẩu mạnh hết hạn sau một khoảng thời gian thiết lập. Một biện pháp bảo mật liên quan khác là ngừng lưu trữ và gửi thông tin văn bản đơn giản. Lý tưởng nhất là mã hóa mã thông báo xác thực, thông tin đăng nhập và mật khẩu.

Sử dụng xác thực và ủy quyền tiêu chuẩn

Thực tiễn tốt nhất là sử dụng các cơ chế và giao thức xác thực và ủy quyền tiêu chuẩn, đáng tin cậy và đã được thử nghiệm như OAuth2 và Kerberos. Mặc dù bạn có thể phát triển mã xác thực tùy chỉnh, nhưng chúng dễ bị lỗi và lỗ hổng, do đó có khả năng làm lộ hệ thống cho kẻ tấn công.

Các quy trình quản lý chính

Sử dụng các khóa mật mã mạnh và tránh các khóa ngắn hoặc yếu mà kẻ tấn công có thể dự đoán. Ngoài ra, sử dụng các cơ chế phân phối khóa an toàn, xoay khóa thường xuyên, luôn gia hạn đúng giờ, thu hồi chúng khi cần thiết và tránh mã hóa cứng vào các ứng dụng.

Sử dụng vòng xoay khóa tự động và thường xuyên giúp cải thiện tính bảo mật và tuân thủ đồng thời hạn chế lượng dữ liệu được mã hóa có nguy cơ.

Quản lý quyền truy cập vào ứng dụng và dữ liệu

Phát triển và thực thi một chính sách bảo mật có thể quản lý và kiểm toán được với các quy tắc truy cập nghiêm ngặt. Cách tiếp cận tốt nhất là cấp cho nhân viên và người dùng được ủy quyền chỉ các quyền truy cập cần thiết và không còn nữa.

Điều này có nghĩa là chỉ định mức truy cập phù hợp cho chỉ các ứng dụng và dữ liệu họ yêu cầu để thực hiện nhiệm vụ của mình. Ngoài ra, cần có sự giám sát thường xuyên về cách mọi người sử dụng các quyền được giao và thu hồi những quyền mà họ đang sử dụng sai hoặc không yêu cầu.

Hoạt động liên tục

Có một số việc phải làm.

  • Thực hiện kiểm tra liên tục, bảo trì thường xuyên, vá lỗi và cập nhật ứng dụng để xác định và khắc phục các lỗ hổng bảo mật và các vấn đề tuân thủ mới nổi.
  • Thiết lập một cơ chế kiểm toán cho tài sản, người dùng và đặc quyền. Sau đó, nhóm bảo mật nên xem xét những điều này thường xuyên để xác định và giải quyết bất kỳ vấn đề nào ngoài việc thu hồi quyền truy cập mà người dùng đang sử dụng sai hoặc không yêu cầu.
  • Phát triển và triển khai một kế hoạch ứng phó sự cố cho thấy cách giải quyết các mối đe dọa và lỗ hổng. Lý tưởng nhất, kế hoạch nên bao gồm các công nghệ, quy trình và con người.

Thu thập và phân tích nhật ký tự động

Các ứng dụng, API và nhật ký hệ thống cung cấp nhiều thông tin. Việc triển khai một công cụ tự động để thu thập và phân tích nhật ký cung cấp những hiểu biết hữu ích về những gì đang xảy ra. Thông thường, các dịch vụ ghi nhật ký, có sẵn dưới dạng các tính năng sẵn có hoặc các tiện ích bổ sung của bên thứ ba, rất tốt trong việc xác minh tuân thủ chính sách bảo mật và các quy định khác cũng như cho kiểm toán.

Sử dụng trình phân tích nhật ký tích hợp với hệ thống cảnh báo, hỗ trợ ngăn xếp công nghệ ứng dụng của bạn và cung cấp bảng điều khiển, v.v..

Giữ và xem xét một dấu vết kiểm toán

Cách tốt nhất là lưu trữ bản kiểm tra các hoạt động của người dùng và nhà phát triển, chẳng hạn như các lần thử đăng nhập thành công và thất bại, thay đổi mật khẩu và các sự kiện liên quan đến tài khoản khác. Một tính năng tự động có thể sử dụng bộ đếm để bảo vệ chống lại các hoạt động đáng ngờ và không an toàn.

Dấu vết kiểm toán có thể có lợi để điều tra khi có vi phạm hoặc nghi ngờ một cuộc tấn công.

Phần kết luận

Mô hình PaaS loại bỏ sự phức tạp và chi phí mua, quản lý và bảo trì phần cứng và phần mềm, nhưng đặt trách nhiệm bảo mật tài khoản, ứng dụng và dữ liệu cho khách hàng hoặc người đăng ký. Điều này đòi hỏi một cách tiếp cận bảo mật tập trung vào danh tính khác với các chiến lược mà các công ty sử dụng trong các trung tâm dữ liệu tại cơ sở truyền thống.

Các biện pháp hiệu quả bao gồm xây dựng bảo mật vào các ứng dụng, cung cấp bảo vệ bên trong và bên ngoài đầy đủ cũng như giám sát và kiểm tra các hoạt động. Đánh giá nhật ký giúp xác định các lỗ hổng bảo mật cũng như các cơ hội cải thiện. Lý tưởng nhất là các đội an ninh phải nhắm đến việc giải quyết bất kỳ mối đe dọa hoặc lỗ hổng nào sớm trước khi những kẻ tấn công nhìn thấy và khai thác chúng.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map