Hoe kan u ‘n platform as ‘n diensomgewing (PaaS) beveilig?

Gebruik u PaaS vir u toepassings, maar is nie seker hoe om dit te beveilig nie?


‘N Platform-as-a-Service (PaaS) is ‘n wolkrekenaarmodel wat ‘n platform bied waar kliënte webtoepassings kan ontwikkel, beveilig, bestuur en bestuur. Dit bied ‘n geoptimaliseerde omgewing waar spanne toepassings kan ontwikkel en implementeer sonder om die onderliggende IT-infrastruktuur en gepaardgaande dienste te koop en te bestuur.

Oor die algemeen bied die platform die nodige hulpbronne en infrastruktuur om die volledige lewensiklus van sagteware-ontwikkeling en -ontplooiing te ondersteun, terwyl ontwikkelaars en gebruikers toegang vanaf enige plek op die internet kan bied. Die voordele van die PaaS sluit in, maar nie beperk nie tot, eenvoud, gemak, laer koste, buigsaamheid en skaalbaarheid.

Gewoonlik verskil die beveiliging van ‘n PaaS van die tradisionele datacentersentrum soos ons dit gaan sien.

‘N PaaS-omgewing maak staat op ‘n gedeelde sekuriteitsmodel. Die aanbieder beveilig die infrastruktuur terwyl die PaaS-klante die verantwoordelikheid het om hul rekeninge, apps en data wat op die platform aangebied word, te beskerm. Ideaal gesproke verskuif die sekuriteit van die perseel na die veiligheidsmodel van die identiteitsperimeter.

Dit beteken dat die PaaS-kliënt meer moet fokus op die identiteit as die primêre veiligheidsomgewing. Kwessies om op te fokus sluit in beskerming, toetsing, kode, data en konfigurasies, werknemers, gebruikers, verifikasie, bedrywighede, monitering en logboeke.

Dit is baie om te doen. Is dit nie?

Moenie bekommerd wees nie; laat ek u stap-vir-stap lei.

Beskerm toepassings teen algemene en onverwagte aanvalle

Een van die beste benaderings is om ‘n intydse outomatiese beskermingsoplossing te implementeer met die vermoë om enige aanval vinnig en outomaties op te spoor en te blokkeer. Die PaaS-intekenare kan die sekuriteitsinstrumente wat op die platform voorsien word, gebruik of na derdeparty-opsies soek wat aan hul vereistes voldoen.

‘N Ideale hulpmiddel moet intydse beskerming bied, terwyl ongemagtigde toegang, aanvalle of oortredings outomaties opgespoor en geblokkeer word.

Bron: comodo.com

Dit moet die vermoë hê om te kyk na ongewone aktiwiteite, kwaadwillige gebruikers, verdagte aanmeldings, slegte bots, oornames van rekeninge en enige ander afwyking wat tot ‘n kompromie kan lei. Benewens die gebruik van gereedskap, is daar ‘n behoefte om sekuriteit in die toepassing in te bou sodat dit beskerm kan word.

Beskerm gebruikersrekeninge en apphulpbronne

Elke interaksiepunt is gewoonlik ‘n potensiële aanvaloppervlak. Die beste manier om aanvalle te voorkom, is om die blootstelling van die kwesbaarhede en bronne van toepassings wat toegang tot onbetroubare gebruikers het, te verminder of te beperk. Dit is ook belangrik om die sekuriteitstelsels gereeld en outomaties op te laai en op te dateer om die swakhede te verminder.

Alhoewel die diensverskaffer die platform beveilig, het die kliënt ‘n meer belangrike verantwoordelikheid om die rekening en toepassings te beskerm. Dit beteken dat die gebruik van ‘n stel sekuriteitstrategieë, soos ‘n kombinasie van ingeboude platformveiligheidsfunksies, byvoegings en derdeparty-instrumente, die beskerming van die rekeninge, apps en data verhoog. Dit verseker ook dat slegs gemagtigde gebruikers of werknemers toegang tot die stelsel het.

‘N Ander maatreël is om die getal werknemers met administratiewe regte tot die minimum te beperk, terwyl ‘n ouditmeganisme ingestel word om riskante aktiwiteite deur die interne spanne en gemagtigde eksterne gebruikers te identifiseer..

Beheerders moet ook die minste gebruikersvoorregte afdwing. Met hierdie benadering moet gebruikers slegs die minste voorregte hê wat hulle in staat stel om toepassings uit te voer of om ander rolle behoorlik uit te voer. Dit verminder die aanvaloppervlak, die misbruik van toegangsregte en die blootstelling van bevoorregte hulpbronne.

Skandeer aansoek vir sekuriteits kwesbaarhede

Voer ‘n risikobepaling uit om te bepaal of daar veiligheidsbedreigings of kwesbaarhede in die programme en biblioteke bestaan. Gebruik die bevindings om die beskerming van al die komponente te verbeter. Ideaal gesproke moet u ‘n gereelde skandering opstel en dit skeduleer om outomaties daagliks of enige ander interval te loop, afhangende van die sensitiwiteit van die app en moontlike veiligheidsbedreigings..

Gebruik, indien moontlik, ‘n oplossing wat kan integreer met ander instrumente soos kommunikasiesagteware of ‘n ingeboude funksie om relevante mense te waarsku wanneer dit ‘n veiligheidsbedreiging of aanval identifiseer.

Toets en los sekuriteitsprobleme in die afhanklikhede

Gewoonlik sal apps afhang van sowel direkte as indirekte afhanklikheid, wat meestal open source is. Enige gebreke in hierdie komponente het die potensiaal om sekuriteits kwesbaarhede in die app bekend te stel as dit nie aangespreek word nie.

‘N Goeie praktyk is om al die interne en eksterne komponente van die apps te ontleed, API-penetrasietoetse uit te voer, netwerke van derdepartye na te gaan, en meer. Sommige van die effektiewe maniere om die kwesbaarhede op te los, is die afhanklikheid of vervanging van die afhanklikheid deur ‘n veilige weergawe, pleisterwerk, ens.

Snyk sal dit die moeite werd wees om sekuriteitsfoute in die afhanklikhede te monitor.

Voer penetrasietoetsing en bedreigingsmodellering uit

Penetrasietoetsing help om veiligheidsgate of kwesbaarhede te identifiseer en aan te spreek voordat die aanvallers dit kan vind en uitbuit. Omdat penetrasietoetse gewoonlik aggressief is, kan dit voorkom as DDoS-aanvalle, en dit is noodsaaklik om met ander veiligheidspanne te koördineer om te voorkom dat daar vals alarms ontstaan.

Bedreigingsmodellering behels die simulering van moontlike aanvalle wat uit vertroude grense sou kom. Dit help om vas te stel of daar ontwerpfoute is wat aanvallers kan benut. Die modellering rus die IT-spanne toe met bedreigingsintelligensie, wat hulle kan gebruik om sekuriteit te bevorder en teenmaatreëls te ontwikkel om enige geïdentifiseerde swakhede of bedreigings aan te spreek..

Monitor aktiwiteite & lêertoegang

Deur die bevoorregte rekeninge te monitor, kan die veiligheidspanne sigbaarheid kry en verstaan ​​hoe die gebruikers die platform gebruik. Dit stel die sekuriteitspanne in staat om te bepaal of die aktiwiteite deur bevoorregte gebruikers potensiële veiligheidsrisiko’s of voldoeningsprobleme inhou.

Monitor en teken aan wat die gebruikers met hul regte doen, sowel as aktiwiteite op die lêers. Daar word gekyk na probleme soos verdagte toegang, wysigings, ongewone aflaaie of oplaai, ens. ‘N Monitering van lêeraktiwiteite moet ook ‘n lys bevat van al die gebruikers wat toegang tot ‘n lêer het, indien daar ‘n oortreding nodig is.

‘N Regte oplossing moet die vermoë hê om interne bedreigings en gebruikers met ‘n hoë risiko te identifiseer deur op soek na probleme soos gelyktydige aanmeldings, verdagte aktiwiteite en baie mislukte aanmeldpogings. Ander aanwysers sluit in om tydens vreemde ure aan te meld, verdagte lêer- en data-aflaaie of -oplaai, ens. As dit moontlik is, sal outomatiese versagtingsmaatreëls enige verdagte aktiwiteite blokkeer en die sekuriteitspanne waarsku om die oortreding te ondersoek, sowel as om enige sekuriteitskwessies op te los..

Beveilig data tydens rus en tydens vervoer

Die beste praktyk is om die data te enkripteer tydens berging en tydens vervoer. Deur die kommunikasiekanale te beveilig, word moontlike aanvalle tussen die middel en die middel voorkom, aangesien die data oor die internet beweeg.

Indien nie reeds nie, implementeer dan HTTPS deur die TLS-sertifikaat in staat te stel om die kommunikasiekanaal en derhalwe die data in transito te enkripteer en beveilig.

Valideer altyd data

Dit verseker dat die invoerdata in die regte formaat, geldig en veilig is.

Alle data, hetsy van interne gebruikers of van eksterne vertroulike en onbetroubare bronne, is seker dat die veiligheidspan opgeneem moet word as hoërisikokomponente. Ideaal gesproke moet u ‘n validering aan die kant van die kliënt en sekuriteit doen voordat data opgelaai word, dat slegs skoon data deurgekom word terwyl die lêer wat in die gedrang kom of deur virusse geïnfekteer is..

Kode sekuriteit

Ontleed die kode vir kwesbaarhede tydens die ontwikkelingslewensiklus. Dit begin vanaf die beginfases, en ontwikkelaars moet die toepassing slegs op die produksie implementeer nadat hulle bevestig het dat die kode veilig is.

Handhaaf multifaktor-verifikasie

As u ‘n multifaktor-verifikasie aktiveer, word ‘n ekstra beskermingslaag toegevoeg wat die sekuriteit verbeter en verseker dat slegs gemagtigde gebruikers toegang tot die programme, data en stelsels het. Dit kan ‘n kombinasie van wagwoord, OTP, SMS, mobiele apps, ens. Wees.

Handhaaf ‘n sterk wagwoordbeleid

Die meeste mense gebruik swak wagwoorde wat maklik is om te onthou en kan dit nooit verander tensy hulle gedwing word nie. Dit is ‘n veiligheidsrisiko wat beheerders kan verminder deur sterk wagwoordbeleide af te dwing.

Dit moet sterk wagwoorde vereis wat na ‘n bepaalde periode verval. ‘N Ander verwante veiligheidsmaatreël is om op te hou om gewone teksbewyse te stoor en te stuur. Encrypteer die ideaal van die verifikasietokenens, -bewyse en wagwoorde.

Gebruik standaardverifikasie en magtiging

Die beste praktyk is om die standaard, betroubare en getoetsde verifikasie- en magtigingsmeganismes en protokolle soos OAuth2 en Kerberos te gebruik. Alhoewel u gepasmaakte verifikasiekodes kan ontwikkel, is dit geneig tot foute en kwesbaarhede, en sal dit dus waarskynlik aan aanvallers blootgestel word.

Sleutelbestuursprosesse

Gebruik sterk kriptografiese sleutels en vermy kort of swak sleutels wat aanvallers kan voorspel. Gebruik ook veilige sleuteldistribusiemeganismes, draai die sleutels gereeld, hernu dit altyd betyds, herroep dit indien nodig en vermy harde kodering in die toepassings..

Die gebruik van ‘n outomatiese en gereelde sleutelrotasie verbeter die veiligheid en nakoming, terwyl die hoeveelheid geïnkripteer data wat u in gevaar stel, beperk word.

Bestuur toegang tot programme en data

Ontwikkel en handhaaf ‘n hanteerbare en hoorbare sekuriteitsbeleid met streng toegangsreëls. Die beste benadering is om die gemagtigde werknemers en gebruikers net die nodige toegangsregte toe te staan ​​en nie meer nie.

Dit beteken die toekenning van die regte vlakke van toegang tot slegs die programme en data wat hulle benodig om hul pligte uit te voer. Daar moet ook gereeld gekyk word na hoe mense die toegewese regte gebruik en diegene wat hulle misbruik of nie herroep nie, herroep.

Deurlopende operasie

Daar is verskillende dinge om te doen.

  • Deurlopende toetse uit te voer, gereelde instandhouding, pleisterwerk en die opdatering van die programme om opkomende sekuriteitsprobleme en nakomingsprobleme te identifiseer en op te los.
  • Die daarstelling van ‘n ouditmeganisme vir bates, gebruikers en voorregte. Die veiligheidspanne moet dit dan gereeld hersien om probleme te identifiseer en aan te spreek, benewens toegangsregte wat gebruikers misbruik of nie nodig het nie.
  • Ontwikkel en ontplooi ‘n plan vir insidente wat wys hoe om bedreigings en kwesbaarhede aan te spreek. Ideaal gesproke moet die plan tegnologieë, prosesse en mense insluit.

Versamel en ontleed logboeke outomaties

Die toepassings, API’s en stelsellogboeke bevat baie inligting. Die implementering van ‘n outomatiese instrument om die logs te versamel en te ontleed bied nuttige insigte in wat gebeur. Die logboekdienste, wat beskikbaar is as ingeboude funksies of byvoegings van derdepartye, is gewoonlik die beste in die verifiëring van die nakoming van sekuriteitsbeleide en ander regulasies, sowel as vir oudits..

Gebruik ‘n log-ontleder wat met die waarskuwingstelsel geïntegreer is, u tegnologiese stapels vir toepassings ondersteun, en ‘n instrumentpaneel voorsien, ens..

Hou ‘n ouditspoor en hersien dit

Dit is die beste praktyk om ‘n ouditspoor van gebruikers- en ontwikkelaaraktiwiteite op te slaan, soos suksesvolle en mislukte aanmeldpogings, wagwoordveranderings en ander rekeningverwante gebeure. ‘N Outomatiese funksie kan tellers gebruik om teen verdagte en onseker aktiwiteite te beskerm.

Die ouditroete kan voordelig wees om te ondersoek of daar ‘n oortreding is of ‘n aanval vermoed.

Afsluiting

‘N PaaS-model verwyder die kompleksiteit en koste van die aankoop, bestuur en instandhouding van hardeware en sagteware, maar is die verantwoordelikheid om die rekeninge, apps en data by die kliënt of die kliënt te beveilig. Dit vereis ‘n identiteitsgesentreerde veiligheidsbenadering wat verskil van die strategieë wat ondernemings in tradisionele datacenters op die perseel gebruik.

Doeltreffende maatreëls sluit in die opbou van sekuriteit in die programme, voldoende interne en eksterne beskerming, sowel as die monitering en ouditering van die aktiwiteite. Deur die logboeke te evalueer, help dit om sekuriteitskwesbaarhede sowel as verbeteringsgeleenthede te identifiseer. Ideaal gesproke moet die veiligheidspanne mik om enige bedreiging of kwesbaarheid aan te pak vroeg voordat die aanvallers dit sien en uitbuit.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map