Hogyan lehet a platformot (PaaS) környezetet biztonságosítani?

A PaaS-t használja az alkalmazásaihoz, de nem biztos benne, hogyan tudja azokat biztosítani?


A Platform-as-a-Service (PaaS) egy felhőalapú számítástechnikai modell, amely olyan platformot biztosít, amelyen az ügyfelek webes alkalmazásokat fejleszthetnek, biztosíthatnak, futtathatnak és kezelhetnek. Optimális környezetet biztosít, ahol a csapatok alkalmazásokat fejleszthetnek és telepíthetnek anélkül, hogy megvásárolnák és kezelnék az alapul szolgáló IT infrastruktúrát és a kapcsolódó szolgáltatásokat.

Általában a platform biztosítja a szükséges erőforrásokat és infrastruktúrát a szoftverfejlesztés és telepítés teljes életciklusának támogatásához, miközben a fejlesztők és a felhasználók számára bárhonnan hozzáférést biztosítanak az internethez. A PaaS előnyei között szerepel, de nem kizárólag, az egyszerűség, a kényelem, az alacsonyabb költségek, a rugalmasság és a méretezhetőség.

Általában a PaaS biztosítása eltér a hagyományos helyszíni adatközponttól, ahogyan látni fogjuk.

A PaaS környezet a következőkre támaszkodik: megosztott biztonsági modell. A szolgáltató védi az infrastruktúrát, míg a PaaS-ügyfelek felelõsek a platformon tárolt számláik, alkalmazásaik és adataik védelmében. Ideális esetben a biztonság az előfeltételektől a személyazonosság kerületének biztonsági modelljéig változik.

Ez azt jelenti, hogy a PaaS ügyfélnek inkább az identitásra kell összpontosítania, mint az elsődleges biztonsági kerületre. A kiemelendő kérdések közé tartozik a védelem, tesztelés, kód, adatok és konfigurációk, alkalmazottak, felhasználók, hitelesítés, műveletek, megfigyelés és naplók.

Ez nagyon sok tennivaló. Nem igaz??

Ne aggódj; hadd vezesselek lépésről lépésre.

Védje az alkalmazásokat a szokásos és váratlan támadásoktól

Az egyik legjobb módszer egy valós idejű automatikus védelmi megoldás telepítése, amely lehetővé teszi a támadások gyors és automatikus észlelését és blokkolását. A PaaS előfizetők használhatják a platformon biztosított biztonsági eszközöket, vagy kereshetnek harmadik fél által kínált lehetőségeket, amelyek megfelelnek az igényeiknek.

Az ideális eszköz valós idejű védelmet nyújt, miközben automatikusan felismeri és blokkolja a jogosulatlan hozzáférést, támadásokat vagy megsértéseket.

Forrás: comodo.com

Ennek képesnek kell lennie arra, hogy ellenőrizze a szokatlan tevékenységeket, a rosszindulatú felhasználókat, a gyanús bejelentkezéseket, a rossz robotokat, a fiókok átvételét és minden egyéb rendellenességet, amely kompromisszumhoz vezethet. Az eszközök használata mellett szükség van az alkalmazás biztonságának beépítésére is annak védelme érdekében.

Védje a felhasználói fiókokat és az alkalmazás erőforrásait

Az interakció minden pontja általában egy potenciális támadási felület. A támadások megelőzésének legjobb módja az alkalmazás sebezhetőségének és erőforrásainak expozíciójának csökkentése vagy korlátozása, amelyekhez a nem megbízható felhasználók férhetnek hozzá. Fontos továbbá a biztonsági rendszerek rendszeres és automatikus javítása és frissítése a gyengeségek csökkentése érdekében.

Bár a szolgáltató biztosítja a platformot, az ügyfélnek nagyobb jelentõs felelõssége van a fiók és az alkalmazások védelme. Ez azt jelenti, hogy egy sor biztonsági stratégiát kell használni, például a beépített platform biztonsági funkcióinak, a kiegészítőknek és a harmadik féltől származó eszközöknek a kombinációját, fokozza a fiókok, alkalmazások és adatok védelmét. Ezenkívül biztosítja, hogy csak jogosult felhasználók vagy alkalmazottak férjenek hozzá a rendszerhez.

Egy másik intézkedés az, hogy a lehető legkisebbre csökkentsék az adminisztrátori joggal rendelkező alkalmazottak számát, miközben létrehozza a belső csoportok és az engedélyezett külső felhasználók által végzett kockázatos tevékenységek azonosítására szolgáló ellenőrzési mechanizmust..

A rendszergazdáknak a legkevesebb felhasználói jogosultságot is érvényesíteniük kell. Ezzel a megközelítéssel a felhasználóknak csak a legkevesebb jogosultsággal kell rendelkezniük, amelyek lehetővé teszik számukra az alkalmazások futtatását vagy más szerepkörök megfelelő elvégzését. Ez csökkenti a támadás felületét, a hozzáférési jogok visszaélését és a privilegizált erőforrások kitettségét.

Vizsgálja meg az alkalmazást a biztonsági rések szempontjából

Végezzen kockázatértékelést annak megállapítása érdekében, hogy vannak-e valamilyen biztonsági fenyegetés vagy sebezhetőség az alkalmazásokban és annak könyvtáraiban. Használja az eredményeket az összes alkatrész védelmének javításához. Ideális esetben hozzon létre egy rendszeres szkennelést, és ütemezze ezt a napi automatikus futtatáshoz, vagy bármilyen más intervallumhoz, az alkalmazás érzékenységétől és a lehetséges biztonsági fenyegetéseketől függően.

Ha lehetséges, használjon olyan megoldást, amely integrálható más eszközökkel, például kommunikációs szoftverrel, vagy rendelkezik egy beépített funkcióval, hogy figyelmeztesse az érintett embereket, amikor egy biztonsági fenyegetést vagy támadást észlel.

Tesztelje és javítsa a biztonsági problémákat a függőségekben

Az alkalmazások általában függnek a közvetlen és közvetett függőségektől is, amelyek többnyire nyílt forráskódúak. Ezeknek az összetevőknek a hiányosságai biztonsági réseket vezethetnek be az alkalmazásban, ha azokat nem kezelik.

Jó gyakorlat az alkalmazások összes belső és külső elemének elemzése, API-penetrációs tesztek elvégzése, harmadik féltől származó hálózatok ellenőrzése és így tovább. A sérülékenységek kiküszöbölésének egyik hatékony eszköze a függőség frissítése vagy kicserélése egy biztonságos verzióra, javításra stb..

Snyk érdemes megkísérelni megfigyelni a függőségek biztonsági hibáit.

Végezzen behatolási tesztet és fenyegetés-modellezést

Penetrációs vizsgálat elősegíti a biztonsági rések vagy sebezhetőségek azonosítását és kiküszöbölését, mielőtt a támadók megtalálhatják és kihasználhatják azokat. Mivel a penetrációs tesztek általában agresszívek, DDoS támadásokként jelentkezhetnek, és a téves riasztások elkerülése érdekében elengedhetetlen a többi biztonsági csapattal való koordináció..

A fenyegetés modellezése magában foglalja a lehetséges támadások szimulálását, amelyek megbízható határokból származnak. Ez segít ellenőrizni, hogy vannak-e olyan tervezési hibák, amelyeket a támadók kihasználhatnak. A modellezés veszélyforrásokkal látja el az informatikai csapatokat, amelyek felhasználhatók a biztonság fokozására és az azonosított gyengeségek vagy fenyegetések kezelésére szolgáló ellenintézkedések kidolgozására..

Figyelemmel kíséri a tevékenységeket & fájlhozzáférés

A privilegizált fiókok figyelése lehetővé teszi a biztonsági csapatok számára, hogy láthatóbbá váljanak és megértsék, hogy a felhasználók hogyan használják a platformot. Ez lehetővé teszi a biztonsági csapatok számára, hogy megállapítsák, hogy a kiváltságos felhasználók tevékenységei potenciális biztonsági kockázatokkal vagy megfelelőségi problémákkal járnak-e.

Figyelemmel kísérheti és naplózhatja a felhasználók tevékenységeit a jogaikkal, valamint a fájlokban végzett tevékenységekkel. Ez olyan kérdésekre vonatkozik, mint például a gyanús hozzáférés, a módosítások, a szokatlan letöltések vagy feltöltések stb. A fájltevékenység-megfigyelésnek tartalmaznia kell a fájlokhoz hozzáférő felhasználók listáját is arra az esetre, ha a szabálysértés kivizsgálására szorul..

A helyes megoldásnak képesnek kell lennie a belső fenyegetések és a magas kockázatú felhasználók azonosítására olyan kérdések keresésével, mint például az egyidejű bejelentkezés, a gyanús tevékenységek és a sok sikertelen bejelentkezési kísérlet. További mutatók: bejelentkezés a furcsa órákban, gyanús fájl- és adatletöltések vagy feltöltések stb. Ha lehetséges, az automatikus enyhítő intézkedések blokkolják a gyanús tevékenységeket, és figyelmeztetik a biztonsági csapatokat a jogsértés kivizsgálására, valamint a biztonsági rések kiküszöbölésére..

Biztonságos adatok nyugalomban és átutazáskor

A legjobb gyakorlat az adatok titkosítása tárolás és tranzit során. A kommunikációs csatornák biztonsága megakadályozza az esetleges közép-támadásokat, mivel az adatok az interneten keresztül továbbadnak.

Ha még nem, akkor hajtsa végre a HTTPS-t azáltal, hogy lehetővé teszi a TLS tanúsítvány számára a kommunikációs csatorna és ennek következtében az átvitt adatok titkosítását és biztonságát..

Mindig érvényesítse az adatokat

Ez biztosítja, hogy a bemeneti adatok a megfelelő formátumban legyenek érvényesek és biztonságosak.

Minden adatnak, függetlenül attól, hogy a belső felhasználók, vagy a külső megbízható és nem megbízható forrásbiztonsági csapatok származnak-e, az adatokat nagy kockázatú összetevőkként kell kezelni. Ideális esetben az adatfeltöltés előtt végezzen érvényesítést az ügyféloldali és biztonsági ellenőrzésekkel, így biztosítva, hogy csak tiszta adatok kerüljenek át, miközben blokkolják a sérült vagy vírusfertőzött fájlokat..

Kódbiztonság

Elemezze a biztonsági rések kódját a fejlesztési életciklus során. Ez a kezdeti szakaszból indul, és a fejlesztőknek csak azután kell telepíteni az alkalmazást a termelésbe, miután megerősítették a kód biztonságát.

Több tényezős hitelesítés végrehajtása

A többtényezős hitelesítés engedélyezése további védelmi réteget eredményez, amely javítja a biztonságot és biztosítja, hogy csak az engedélyezett felhasználók férjenek hozzá az alkalmazásokhoz, adatokhoz és rendszerekhez. Ez lehet a jelszó, az OTP, az SMS, a mobil alkalmazások stb. Kombinációja.

Szigorú jelszavas házirendek érvényesítése

A legtöbb ember gyenge jelszavakat használ, amelyek könnyen megjegyezhetők, és hacsak erőltetésre kényszerítik, soha nem változtathatja meg őket. Ez egy biztonsági kockázat, amelyet az adminisztrátorok minimalizálhatnak az erőteljes jelszószabályok betartásával.

Ehhez erős jelszavakat kell igényelnie, amelyek egy meghatározott idő elteltével lejárnak. Egy másik kapcsolódó biztonsági intézkedés az egyszerű szövegű hitelesítő adatok tárolásának és küldésének megállítása. Ideális esetben titkosítsa a hitelesítő tokeneket, a hitelesítő adatokat és a jelszavakat.

Használjon szabványos hitelesítést és engedélyezést

A legjobb gyakorlat a standard, megbízható és tesztelt hitelesítési és engedélyezési mechanizmusok és protokollok, például az OAuth2 és a Kerberos használata. Bár fejleszthet egyedi hitelesítési kódokat, ezek hajlamosak a hibákra és a biztonsági résekre, tehát valószínűleg a rendszereket támadóknak teszik ki.

Kulcskezelési folyamatok

Használjon erős kriptográfiai kulcsot, és kerülje el a rövid vagy gyenge kulcsot, amelyet a támadók előre jelezhetnek. Használjon továbbá biztonságos kulcselosztó mechanizmusokat, rendszeresen forgassa el a kulcsot, mindig időben megújítsa, szükség esetén vonja vissza, és kerülje az alkalmazásokba történő kemény kódolást..

Az automatikus és rendszeres kulcsforgatás javítja a biztonságot és a megfelelést, miközben korlátozza a veszélyeztetett titkosított adatok mennyiségét.

Kezelje az alkalmazásokhoz és az adatokhoz való hozzáférést

Szigorú hozzáférési szabályokkal kezelhető és ellenőrizhető biztonsági politika kidolgozása és végrehajtása. A legjobb megközelítés az, ha a felhatalmazott alkalmazottaknak és a felhasználóknak csak a szükséges hozzáférési jogokat biztosítják, és nem többet.

Ez azt jelenti, hogy a megfelelő hozzáférési szintet csak azoknak az alkalmazásoknak és adatoknak kell kiosztani, amelyekre szükségük van feladataik ellátásához. Rendszeresen ellenőrizni kell, hogy az emberek hogyan használják a kijelölt jogokat, és visszavonják azokat, amelyeket visszaélnek vagy nem igényelnek.

Folyamatban lévő művelet

Számos tennivaló van.

  • Folyamatos tesztelés, rendszeres karbantartás, javítás és frissítés az alkalmazások számára a felmerülő biztonsági rések és megfelelési problémák azonosítása és kijavítása érdekében.
  • Felügyeleti mechanizmus létrehozása az eszközök, a felhasználók és a kiváltságok számára. A biztonsági csapatok ezt követően rendszeresen felülvizsgálják ezeket a problémákat, hogy azonosítsák és kezeljék azokat a hozzáférési jogokat, amelyeket a felhasználók visszaélnek vagy nem igényelnek.
  • Készítsen és telepítsen egy eseménykezelési tervet, amely bemutatja, hogyan lehet kezelni a fenyegetéseket és a sebezhetőségeket. Ideális esetben a tervnek tartalmaznia kell technológiákat, folyamatokat és embereket.

A naplókat automatikusan gyűjtheti és elemezheti

Az alkalmazások, API-k és rendszernaplók sok információt szolgáltatnak. A naplók gyűjtésére és elemzésére szolgáló automatikus eszköz telepítése hasznos betekintést nyújt a történésekbe. A naplózási szolgáltatások, amelyek beépített szolgáltatásokként vagy harmadik féltől származó kiegészítőként is elérhetők, leggyakrabban nagyszerűek a biztonsági irányelvek és más előírások betartásának ellenőrzésében, valamint az ellenőrzések során.

Használjon egy naplóelemzőt, amely integrálódik a riasztórendszerhez, támogatja az alkalmazástechnikai kötegeket, és műszerfalat biztosít, stb..

Tartsa meg és ellenőrizze az ellenőrzési nyomkövetést

A legjobb gyakorlat a felhasználói és a fejlesztői tevékenységek, például a sikeres és sikertelen bejelentkezési kísérletek, a jelszóváltoztatások és a fiókkal kapcsolatos egyéb események ellenőrző nyomkönyvének tárolása. Az automatikus funkció számlálókkal védi a gyanús és bizonytalan tevékenységeket.

Az ellenőrzési nyomvonal hasznos lehet a jogsértés vagy támadás gyanújának kivizsgálására.

Következtetés

A PaaS modell megszünteti a hardverek és szoftverek beszerzésének, kezelésének és karbantartásának bonyolultságát és költségeit, de a fiókok, alkalmazások és adatok biztonságáért az ügyfelet vagy az előfizetőt viseli. Ehhez identitás-központú biztonsági megközelítésre van szükség, amely különbözik a vállalatok által a hagyományos helyszíni adatközpontokban alkalmazott stratégiáktól.

A hatékony intézkedések közé tartozik a biztonság beépítése az alkalmazásokba, megfelelő belső és külső védelem biztosítása, valamint a tevékenységek megfigyelése és ellenőrzése. A naplók értékelése segít azonosítani a biztonsági réseket, valamint a fejlesztési lehetőségeket. Ideális esetben a biztonsági csapatoknak arra kell törekedniük, hogy minden veszélyt vagy sebezhetőséget korábban kezeljék, még mielőtt a támadók látnák és kihasználnák azokat.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map