آیا از برنامه های PaaS برای برنامه های خود استفاده می کنید اما مطمئن نیستید که چگونه آنها را امن کنید?


Platform-as-a-service (PaaS) یک مدل محاسبات ابری است که بستری را فراهم می کند که در آن مشتریان می توانند برنامه های وب را توسعه ، ایمن ، اجرا و مدیریت کنند. این یک محیط بهینه سازی شده است که تیم ها می توانند برنامه های کاربردی را بدون خرید و مدیریت زیرساخت های زیربنایی فناوری اطلاعات و خدمات مرتبط توسعه دهند و مستقر کنند.

به طور کلی ، این پلت فرم منابع و زیرساخت های لازم را برای پشتیبانی از چرخه کامل زندگی و توسعه نرم افزار فراهم می کند در حالی که به توسعه دهندگان و کاربران امکان دسترسی از هر نقطه از اینترنت را می دهد. مزایای PaaS شامل ، اما محدود به آن نیست ، سادگی ، راحتی ، هزینه های پایین تر ، انعطاف پذیری و مقیاس پذیری.

معمولاً ، تأمین یک PaaS با مرکز داده های فرضیه سنتی تفاوت دارد همانطور که می خواهیم ببینیم.

یک محیط PaaS به یک تکیه می کند مدل امنیتی مشترک. تأمین کننده زیرساخت ها را تضمین می کند در حالی که مشتریان PaaS وظیفه دارند از حساب ها ، برنامه ها و داده های خود در سیستم عامل محافظت کنند. در حالت ایده آل ، امنیت از پیش فرض به مدل امنیتی محیط هویتی تغییر می کند.

این بدان معنی است که مشتری PaaS باید بیشتر بر هویت به عنوان محیط اصلی امنیت تمرکز کند. موضوعاتی که باید بر روی آن تمرکز کنید شامل حفاظت ، آزمایش ، کد ، داده ها و پیکربندی ها ، کارمندان ، کاربران ، تأیید اعتبار ، عملیات ، نظارت و گزارش ها است..

این کار زیادی برای انجام دادن دارد اینطور نیست?

نگران نباش بگذارید قدم به قدم شما را راهنمایی کنم.

از برنامه های کاربردی در برابر حملات معمول و غیر منتظره محافظت کنید

یکی از بهترین روشها استقرار یک راه حل حفاظت خودکار در زمان واقعی با امکان شناسایی سریع و اتوماتیک هرگونه حمله است. مشترکین PaaS می توانند از ابزارهای امنیتی ارائه شده روی سکو استفاده کنند یا به دنبال گزینه های شخص ثالثی باشند که نیازهای آنها را برطرف سازند.

یک ابزار ایده آل باید ضمن شناسایی خودکار و مسدود کردن دسترسی های غیرمجاز ، حملات یا نقض ها ، از محافظت در زمان واقعی استفاده کند.

منبع: comodo.com

این باید توانایی بررسی فعالیتهای غیرمعمول ، کاربران مخرب ، ورود به سیستم مشکوک ، رباتهای بد ، برداشت حسابها و هرگونه ناهنجاری دیگری را داشته باشد که ممکن است منجر به سازش شود. علاوه بر استفاده از ابزار ، نیاز به ایجاد امنیت در برنامه وجود دارد تا از آن محافظت کند.

از حسابهای کاربری و منابع برنامه محافظت کنید

هر نقطه تعامل معمولاً یک سطح حمله بالقوه است. بهترین راه برای جلوگیری از حمله ، کاهش یا محدود کردن قرار گرفتن در معرض آسیب پذیری برنامه و منابعی است که کاربران غیر قابل اعتماد به آنها دسترسی پیدا می کنند. همچنین ضبط و به روزرسانی منظم و به روزرسانی سیستم های امنیتی برای کاهش نقاط ضعف حائز اهمیت است.

اگرچه ارائه دهنده خدمات ، بستر را ایمن می کند ، مشتری مسئولیت مهم تری برای محافظت از حساب و برنامه ها دارد. این بدان معناست که استفاده از مجموعه ای از استراتژی های امنیتی مانند ترکیبی از ویژگی های امنیتی پلت فرم داخلی ، افزونه ها و ابزارهای شخص ثالث ، محافظت از حساب ها ، برنامه ها و داده ها را تقویت می کند. همچنین تضمین می کند که فقط کاربران یا کارمندان مجاز قادر به دسترسی به سیستم هستند.

اقدام دیگر ، نگه داشتن تعداد کارمندان دارای حقوق اداری به حداقل و در حین ایجاد مکانیزم حسابرسی برای شناسایی فعالیت های مخاطره آمیز توسط تیم های داخلی و کاربران خارجی مجاز است..

Admins همچنین باید حداقل امتیازات کاربران را اعمال کند. با این رویکرد ، کاربران فقط باید حداقل امتیازاتی داشته باشند که به آنها امکان می دهد برنامه ها را اجرا کنند یا سایر نقش ها را به درستی انجام دهند. این باعث کاهش سطح حمله ، سوء استفاده از حقوق دسترسی و قرار گرفتن در معرض منابع ممتاز می شود.

برنامه را برای آسیب پذیری های امنیتی اسکن کنید

ارزیابی ریسک را انجام دهید تا در صورت وجود هرگونه تهدید یا آسیب پذیری امنیتی در برنامه ها و کتابخانه های آن ، شناسایی کنید. از یافته ها برای بهبود حفاظت از همه اجزا استفاده کنید. در حالت ایده آل ، یک اسکن منظم را تنظیم کنید و این را برنامه ریزی کنید تا روزانه به طور خودکار یا هر فاصله دیگری بسته به حساسیت برنامه و تهدیدات امنیتی احتمالی اجرا شود..

در صورت امکان ، از راهکاری استفاده کنید که می تواند با ابزارهای دیگر مانند نرم افزار ارتباطی ادغام شود یا از ویژگی های داخلی برخوردار باشد تا هشدار به افراد مربوطه هربار که یک تهدید امنیتی یا حمله ای را شناسایی کرد ، هشدار دهد..

مسائل امنیتی را در وابستگی ها آزمایش و برطرف کنید

معمولاً برنامه ها به وابستگی مستقیم و غیرمستقیم بستگی دارند که بیشتر منبع باز هستند. هرگونه نقص در این مؤلفه ها می تواند در صورت عدم توجه آسیب پذیری های امنیتی در برنامه را معرفی کند.

یک تمرین خوب تجزیه و تحلیل تمام مؤلفه های داخلی و خارجی برنامه ها ، انجام تست های نفوذ API ، بررسی شبکه های شخص ثالث و موارد دیگر است. برخی از ابزارهای مؤثر برای رفع آسیب پذیری ها شامل ارتقاء یا جایگزینی وابستگی به نسخه ایمن ، وصله گذاری و غیره است..

اسنیک ارزش تلاش برای نظارت بر نقص امنیتی وابستگی ها را دارد.

آزمایش نفوذ و مدل سازی تهدید را انجام دهید

تست نفوذ قبل از اینکه مهاجمان بتوانند آنها را پیدا و از آنها سوء استفاده کنند ، به شناسایی و رفع حفره های امنیتی یا آسیب پذیری ها کمک می کند. از آنجا که تست های نفوذ معمولاً تهاجمی هستند ، ممکن است به عنوان حملات DDoS ظاهر شوند ، و هماهنگی با سایر تیم های امنیتی برای جلوگیری از ایجاد آلارم کاذب ضروری است..

مدل سازی تهدید شامل شبیه سازی حملات احتمالی است که از مرزهای مورد اعتماد حاصل می شود. این به بررسی اینکه آیا نقص طراحی وجود دارد که مهاجمان می توانند از آن استفاده کنند ، کمک می کند. مدل سازی تیم های فناوری اطلاعات را به اطلاعات تهدید مجهز می کند ، که می توانند از آنها برای تقویت امنیت و توسعه اقدامات متقابل برای رفع هرگونه ضعف یا تهدید شناسایی شده استفاده کنند..

نظارت بر فعالیتها & دسترسی به پرونده

نظارت بر حسابهای ممتاز این امکان را به تیمهای امنیتی می دهد تا دید و چگونگی استفاده کاربران از این سیستم عامل را درک کنند. این تیم های امنیتی را قادر می سازد تشخیص دهند که فعالیت های کاربران ممتاز دارای خطرات امنیتی بالقوه یا مشکلات مربوط به انطباق است.

آنچه را که کاربران با حقوق خود و همچنین فعالیتهای مربوط به پرونده ها انجام می دهند ، نظارت و ثبت کنید. این امر به دنبال مواردی از قبیل دسترسی مشکوک ، تغییرات ، بارگیری ها یا آپلودهای غیرمعمول و غیره می باشد. نظارت بر فعالیت فایل همچنین باید لیستی از کلیه کاربرانی که به یک پرونده دسترسی پیدا کرده اند در صورت نیاز به بررسی نقض.

یک راه حل مناسب باید با جستجوی مواردی مانند ورود همزمان ، فعالیت های مشکوک و بسیاری از تلاش های ناموفق برای ورود ، توانایی شناسایی تهدیدات داخلی و کاربران پرخطر را داشته باشد. سایر شاخص ها عبارتند از ورود به سیستم در ساعات عجیب ، بارگیری پرونده ها و بارگیری پرونده ها و آپلودها و غیره. در صورت امکان ، اقدامات کاهش خودکار باعث جلوگیری از هرگونه فعالیت مشکوک می شود و به تیم های امنیتی هشدار می دهند تا در مورد نقض این نقض و همچنین برطرف کردن هرگونه آسیب پذیری امنیتی هشدار دهند..

داده ها را در حالت استراحت و در هنگام ترانزیت ایمن کنید

بهترین روش رمزگذاری داده ها در حین ذخیره و هنگام انتقال است. ایمن سازی کانال های ارتباطی هنگام حرکت داده ها از طریق اینترنت ، از حملات احتمالی انسان در وسط جلوگیری می کند.

اگر قبلاً نبود ، HTTPS را با فعال کردن گواهینامه TLS برای رمزگذاری و ایمن سازی کانال ارتباطی و به تبع آن داده های در حال انتقال پیاده سازی کنید.

همیشه داده ها را تأیید کنید

این تضمین می کند که داده های ورودی در قالب صحیح ، معتبر و مطمئن باشند.

تمام داده ها ، اعم از کاربران داخلی یا تیم های امنیتی منابع معتبر خارجی و غیرقابل اعتماد ، باید داده ها را به عنوان مؤلفه های پرخطر رفتار کنند. در حالت ایده آل ، قبل از آپلود داده ، اعتبارسنجی را در کنترل مشتری و کنترل انجام دهید تا اطمینان حاصل شود که فقط داده های تمیز با مسدود کردن پرونده های سازگار یا ویروس آلوده از طریق آن عبور می کنند..

امنیت کد

تجزیه و تحلیل کد برای آسیب پذیری ها در چرخه زندگی توسعه. این از مراحل اولیه شروع می شود و توسعه دهندگان فقط باید پس از تأیید عدم اطمینان از کد ، برنامه را به محصول اعزام کنند.

احراز هویت چند عاملی

فعال کردن تأیید هویت چند عاملی ، یک لایه محافظ اضافی را اضافه می کند که امنیت را بهبود می بخشد و اطمینان حاصل می کند که فقط کاربران مجاز اجازه دسترسی به برنامه ها ، داده ها و سیستم ها را دارند. این می تواند ترکیبی از رمز عبور ، OTP ، پیام کوتاه ، برنامه های تلفن همراه و غیره باشد.

یک سیاست رمز عبور قوی را اجرا کنید

بیشتر افراد از رمزهای عبور ضعیفی استفاده می کنند که به راحتی قابل یادآوری هستند و ممکن است هرگز آنها را تغییر ندهند مگر اینکه مجبور شوند. این یک ریسک امنیتی است که ادمین ها می توانند با اجرای سیاستهای رمز عبور قوی به حداقل برسانند.

این نیاز به رمزهای عبور قوی دارد که پس از یک دوره مشخص منقضی می شوند. یکی دیگر از اقدامات امنیتی مرتبط ، متوقف کردن ذخیره و ارسال گواهی نامه های متن ساده است. در حالت ایده آل ، علائم تأیید اعتبار ، اعتبار و رمزهای عبور را رمزگذاری کنید.

از احراز هویت و مجوزهای استاندارد استفاده کنید

بهترین روش استفاده از سازوکارها و پروتکل های معتبر و معتبر استاندارد ، معتبر و آزمایش شده مانند OAuth2 و Kerberos است. اگرچه می توانید کدهای احراز هویت سفارشی را توسعه دهید ، اینها مستعد خطا و آسیب پذیری هستند ، از این رو احتمال دارد سیستم ها را در معرض مهاجمان قرار دهید.

فرآیندهای کلیدی مدیریت

از کلیدهای رمزنگاری قوی استفاده کنید و از کلیدهای کوتاه یا ضعیف جلوگیری کنید که مهاجمان می توانند پیش بینی کنند. همچنین ، از مکانیسم های توزیع کلید ایمن استفاده کنید ، کلیدها را بطور مرتب بچرخانید ، همیشه آنها را به موقع تمدید کنید ، در صورت لزوم آنها را ابطال کنید و از کدگذاری سخت آنها در برنامه ها خودداری کنید.

استفاده از یک چرخش خودکار کلید و به طور منظم ، باعث افزایش امنیت و انطباق می شود در حالی که مقدار داده های رمزگذاری شده در معرض خطر را محدود می کند.

دسترسی به برنامه ها و داده ها را مدیریت کنید

با ضوابط دسترسی دقیق ، یک سیاست امنیتی قابل کنترل و شنیداری را تدوین و اجرا کنید. بهترین رویکرد اعطای حق دسترسی به کارمندان و کاربران مجاز فقط و غیره است.

این به معنای اختصاص سطح صحیح دسترسی فقط به برنامه ها و داده های مورد نیاز برای انجام وظایف خود است. همچنین ، باید به طور منظم نظارت بر نحوه استفاده افراد از حقوق تعیین شده و ابطال مواردی که آنها سوءاستفاده می کنند یا نیازی به آن ندارند ، انجام شود.

عملیات در حال انجام

چندین کار وجود دارد که باید انجام شود.

  • انجام آزمایش مداوم ، نگهداری منظم ، وصله و بروزرسانی برنامه ها برای شناسایی و رفع آسیب پذیری های امنیتی در حال ظهور و مشکلات مربوط به انطباق.
  • ایجاد مکانیزم حسابرسی برای داراییها ، کاربران و امتیازات. سپس تیم های امنیتی باید این موارد را مرتباً بررسی کنند تا علاوه بر لغو حقوق دسترسی که کاربران از آنها سوء استفاده می کنند یا به آنها احتیاج ندارند ، سایر موارد را شناسایی و به آنها بپردازند..
  • برنامه پاسخ به حوادث را تهیه کنید و بکار بگیرید که نشان می دهد چگونه تهدیدها و آسیب پذیری ها را برطرف کنید. در حالت ایده آل ، این طرح باید شامل فناوری ها ، فرایندها و افراد باشد.

جمع آوری و تجزیه و تحلیل سیاهههای مربوط به صورت خودکار

برنامه های کاربردی ، API ها و سیاهههای مربوط به سیستم اطلاعات زیادی را در اختیار شما قرار می دهد. بکارگیری یک ابزار خودکار برای جمع آوری و تجزیه و تحلیل سیاهههای مربوط ، بینش مفیدی درباره آنچه اتفاق می افتد فراهم می کند. بیشتر اوقات ، خدمات ورود به سیستم ، که به صورت ویژگیهای داخلی یا افزودنیهای شخص ثالث در دسترس هستند ، در تأیید پیروی از خط مشی های امنیتی و سایر مقررات و همچنین برای ممیزی ها بسیار عالی هستند..

از یک آنالایزر log استفاده کنید که با سیستم هشدار ادغام شود ، از پشته های فناوری برنامه شما پشتیبانی کند و داشبورد و غیره را در اختیار شما قرار دهد..

دنباله حسابرسی را نگه دارید و بررسی کنید

بهتر است برای ذخیره کردن دنباله حسابرسی از فعالیت های کاربر و توسعه دهنده مانند تلاش های موفق و ناموفق ورود به سیستم ، تغییر رمز عبور و سایر رویدادهای مرتبط با حساب. یک ویژگی خودکار می تواند از پیشخوان ها برای محافظت در برابر فعالیت های مشکوک و ناامن استفاده کند.

مسیر حسابرسی می تواند برای بررسی در مورد نقض یا مشکوک بودن حمله ، سودمند باشد.

نتیجه

یک مدل PaaS پیچیدگی و هزینه خرید ، مدیریت و نگهداری سخت افزار و نرم افزار را برطرف می کند ، اما مسئولیت امنیت حساب ها ، برنامه ها و داده ها را بر عهده مشتری یا مشترک قرار می دهد. این نیاز به یک رویکرد امنیتی محور هویت دارد که با استراتژی هایی که شرکت ها در مراکز داده سنتی فرض استفاده می کنند متفاوت است.

اقدامات مؤثر شامل ایجاد امنیت در برنامه ها ، فراهم آوردن حفاظت داخلی و خارجی کافی و همچنین نظارت و ممیزی فعالیت ها است. ارزیابی سیاهههای مربوط به شناسایی آسیب پذیری های امنیتی و همچنین بهبود فرصت ها کمک می کند. در حالت ایده آل ، تیم های امنیتی باید در مقابله با هرگونه تهدید یا آسیب پذیری ، زودتر از حمله مهاجمان ، از آنها استفاده کنند.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me