Как да защитим платформата като среда за услуги (PaaS)?

Използвате ли PaaS за вашите приложения, но не сте сигурни как да ги защитите?


Платформата като услуга (PaaS) е модел в облачни изчисления, който предоставя платформа, където клиентите могат да разработват, защитават, стартират и управляват уеб приложения. Той осигурява оптимизирана среда, в която екипите могат да разработват и разгръщат приложения, без да купуват и управляват базисната ИТ инфраструктура и свързаните с нея услуги.

Като цяло платформата предоставя необходимите ресурси и инфраструктура, за да поддържа пълния жизнен цикъл на разработка и внедряване на софтуер, като същевременно позволява на разработчиците и потребителите достъп от всяка точка на интернет. Предимствата на PaaS включват, но не само, простота, удобство, по-ниски разходи, гъвкавост и мащабируемост.

Обикновено осигуряването на PaaS се различава от традиционния локален център за данни, както ще видим.

Aaa среда залага на a модел на споделена сигурност. Доставчикът осигурява инфраструктура, докато клиентите на PaaS имат отговорността да защитават своите акаунти, приложения и данни, хоствани в платформата. В идеалния случай защитата се измества от модела за сигурност към модела на сигурност по периметъра на идентичност.

Това означава, че клиентът на PaaS трябва да се съсредоточи повече върху идентичността като основен периметър на сигурността. Проблемите, върху които трябва да се съсредоточат, включват защита, тестване, код, данни и конфигурации, служители, потребители, удостоверяване, операции, мониторинг и регистрационни файлове.

Това е много. Не е ли така?

Не се притеснявайте; позволете ми да ви насоча стъпка по стъпка.

Защитете приложенията от често срещани и неочаквани атаки

Един от най-добрите подходи е разполагането на решение за автоматична защита в реално време с възможност за бързо и автоматично откриване и блокиране на всяка атака. Абонатите на PaaS могат да използват инструментите за защита, предоставени на платформата, или да търсят опции на трети страни, които отговарят на техните изисквания.

Идеалният инструмент трябва да осигурява защита в реално време, докато автоматично открива и блокира неоторизиран достъп, атаки или нарушения.

Източник: comodo.com

Той трябва да има възможност да проверява за необичайни дейности, злонамерени потребители, подозрителни влизания, лоши ботове, поглъщания на акаунти и всяка друга аномалия, която може да доведе до компромис. В допълнение към използването на инструменти има нужда от изграждане на сигурност в приложението, така че то да има своята защита.

Защита на потребителските акаунти и ресурси на приложенията

Всяка точка на взаимодействие обикновено е потенциална атакуваща повърхност. Най-добрият начин за предотвратяване на атаки е да се намали или ограничи излагането на уязвимости и ресурси на приложенията, до които ненадеждните потребители имат достъп. Важно е също редовно и автоматично кръпка и актуализиране на системите за сигурност, за да се намалят слабостите.

Въпреки че доставчикът на услуги защитава платформата, клиентът носи по-значителна отговорност за защита на акаунта и приложенията. Това означава, че използването на набор от стратегии за защита, като комбинация от вградени функции за защита на платформата, добавки и инструменти на трети страни, подобрява защитата на акаунти, приложения и данни. Освен това гарантира, че само оторизирани потребители или служители могат да имат достъп до системата.

Друга мярка е да се намали броят на служителите с администраторски права до минимум, като същевременно се създаде одитен механизъм за идентифициране на рискови дейности от вътрешните екипи и оторизирани външни потребители.

Администраторите също трябва да налагат най-малко права на потребителите. При този подход потребителите трябва да имат само най-малко привилегии, които им позволяват да стартират приложения или да изпълняват други роли правилно. Това намалява атакуваната повърхност, злоупотребата с правата за достъп и излагането на привилегировани ресурси.

Приложение за сканиране за уязвимости в сигурността

Извършете оценка на риска, за да установите дали има някакви заплахи за сигурността или уязвимости в приложенията и нейните библиотеки. Използвайте заключенията, за да подобрите защитата на всички компоненти. В идеалния случай установете редовно сканиране и планирайте това да се изпълнява всеки ден автоматично или всеки друг интервал в зависимост от чувствителността на приложението и потенциалните заплахи за сигурността.

Ако е възможно, използвайте решение, което може да се интегрира с други инструменти, като комуникационен софтуер или има вградена функция, за да предупреждава съответните хора, когато идентифицира заплаха или атака за сигурността.

Тествайте и коригирайте проблеми със сигурността в зависимостите

Обикновено приложенията ще зависят както от преки, така и от косвени зависимости, които са най-вече с отворен код. Всички недостатъци в тези компоненти могат да въведат уязвимости в сигурността в приложението, ако не бъдат адресирани.

Добра практика е да анализирате всички вътрешни и външни компоненти на приложенията, да извършвате тестове за проникване в API, да проверявате мрежи на трети страни и други. Някои от ефективните средства за отстраняване на уязвимостите включват надграждане или замяна на зависимостта със сигурна версия, кръпка и т.н..

Snyk би струвало да се опитаме да наблюдаваме пропуските в сигурността в зависимостите.

Извършете тест за проникване и моделиране на заплахи

Тест за проникване помага да се идентифицират и адресират дупки или уязвимости в сигурността, преди нападателите да ги намерят и използват. Тъй като тестовете за проникване обикновено са агресивни, те могат да се появят като DDoS атаки и е важно да се координира с други екипи за сигурност, за да се избегне създаването на фалшиви аларми.

Моделирането на заплахи включва симулиране на възможни атаки, които биха дошли от надеждни граници. Това помага да се провери дали има недостатъци в дизайна, които нападателите могат да експлоатират. Моделирането оборудва ИТ екипите с информация за заплахата, която те могат да използват за повишаване на сигурността и разработване на мерки за противодействие за справяне с всяка идентифицирана слабост или заплаха.

Мониторни дейности & достъп до файлове

Мониторингът на привилегированите акаунти позволява на екипите за сигурност да получат видимост и да разберат как потребителите използват платформата. Това дава възможност на екипите по сигурността да определят дали дейностите на привилегированите потребители имат потенциални рискове за сигурността или проблеми със съответствието.

Следете и регистрирайте какво правят потребителите с техните права, както и дейностите по файловете. Тук се търсят проблеми като подозрителен достъп, модификации, необичайни изтегляния или качвания и др. Мониторингът на активността на файловете също трябва да предоставя списък на всички потребители, които са имали достъп до файл, в случай че има нужда да се разследва нарушение..

Правилното решение трябва да има способността да идентифицира вътрешни заплахи и високорискови потребители, като търси проблеми като едновременни влизания, подозрителни дейности и много неуспешни опити за влизане. Други индикатори включват влизане в странни часове, подозрителни изтегляния на файлове и данни или качване и др. Когато е възможно, автоматичните мерки за смекчаване ще блокират всякаква подозрителна дейност и предупреждават екипите за сигурност да разследват нарушението, както и да адресират всички уязвими места в сигурността..

Защитете данните в покой и при преминаване

Най-добрата практика е да шифровате данните по време на съхранение и при транзит. Осигуряването на комуникационните канали предотвратява възможни атаки от човек в средата, докато данните пътуват по интернет.

Ако не вече, внедрете HTTPS, като разрешите TLS сертификата да криптира и защити комуникационния канал и следователно данните в транзит.

Винаги проверявайте данните

Това гарантира, че входните данни са в правилния формат, валидни и сигурни.

Всички данни, независимо дали са от вътрешни потребители или от външни доверени и ненадеждни екипи за сигурност, трябва да третират данните като високорискови компоненти. В идеалния случай, проверете проверката от страна на клиента и проверките за сигурност преди качването на данни ще гарантира, че преминават само чисти данни, докато блокират компрометирани или заразени с вируси файлове.

Сигурност на кода

Анализирайте кода за уязвимости по време на жизнения цикъл на развитието. Това започва от началните етапи и разработчиците трябва да разгърнат приложението само в производството, след като потвърдят, че кодът е защитен.

Прилагане на многофакторна автентификация

Активирането на многофакторна автентификация добавя допълнителен защитен слой, който подобрява сигурността и гарантира, че само оторизирани потребители имат достъп до приложенията, данните и системите. Това може да бъде комбинация от парола, OTP, SMS, мобилни приложения и т.н..

Да се ​​прилага силна политика за парола

Повечето хора използват слаби пароли, които са лесни за запомняне и никога не могат да ги променят, освен ако не са принудени. Това е риск за сигурността, който администраторите могат да сведат до минимум чрез прилагане на силни политики за пароли.

Това трябва да изисква силни пароли, които изтичат след определен период. Друга свързана мярка за сигурност е да спрете съхраняването и изпращането на обикновени текстови идентификационни данни. В идеалния случай шифровайте маркерите за автентификация, идентификационните данни и паролите.

Използвайте стандартно удостоверяване и оторизация

Най-добрата практика е да се използват стандартните, надеждни и тествани механизми за автентификация и оторизация и протоколи като OAuth2 и Kerberos. Въпреки че можете да разработите персонализирани кодове за удостоверяване, те са предразположени към грешки и уязвимости, следователно е вероятно да излагат системи на нападатели.

Ключови процеси на управление

Използвайте силни криптографски ключове и избягвайте къси или слаби клавиши, които атакуващите могат да предвидят. Освен това използвайте защитени механизми за разпространение на ключове, въртете ключовете редовно, винаги ги подновявайте навреме, отменете ги при необходимост и избягвайте твърдото им кодиране в приложенията.

Използването на автоматично и редовно завъртане на клавиша подобрява сигурността и спазването, като същевременно ограничава количеството криптирани данни в риск.

Управление на достъпа до приложения и данни

Разработване и прилагане на управляема и подлежаща на одитиране политика за сигурност със строги правила за достъп. Най-добрият подход е да предоставите на оторизираните служители и потребители само необходимите права за достъп и не повече.

Това означава задаване на правилните нива на достъп само до приложенията и данните, от които се нуждаят, за да изпълняват своите задължения. Освен това трябва да има редовен мониторинг за това как хората използват предоставените права и отнемат тези, които злоупотребяват или не изискват.

Текуща операция

Има няколко неща за вършене.

  • Извършване на непрекъснато тестване, редовна поддръжка, кръпка и актуализиране на приложенията за идентифициране и коригиране на възникващи уязвимости в сигурността и проблеми със съответствието.
  • Създаване на механизъм за одит на активи, потребители и привилегии. След това екипите за сигурност трябва да ги преглеждат редовно, за да идентифицират и адресират всички проблеми, в допълнение към отнемане на права за достъп, които потребителите злоупотребяват или не се нуждаят от тях.
  • Разработете и внедрете план за реагиране на инциденти, който показва как да се справите със заплахите и уязвимостите. В идеалния случай планът трябва да включва технологии, процеси и хора.

Събирайте и анализирайте дневниците автоматично

Дневниците на приложенията, API и системните дневници предоставят много информация. Внедряването на автоматичен инструмент за събиране и анализиране на регистрационните файлове предоставя полезна информация за случващото се. Най-често услугите за регистриране, достъпни като вградени функции или добавки на трети страни, са чудесни за проверка на спазването на политиките за сигурност и други разпоредби, както и за одити.

Използвайте анализатор на журнали, който се интегрира със системата за сигнализиране, поддържа технологичните стекове на приложението ви и осигурява табло за управление и т.н..

Съхранявайте и преглеждайте следа за одит

Най-добра практика е да съхранявате одитна пътека за дейности на потребители и разработчици, като успешни и неуспешни опити за влизане, промяна на паролата и други събития, свързани с акаунта. Автоматичната функция може да използва броячи за защита от подозрителни и несигурни дейности.

Одитната пътека може да бъде полезна за разследване, когато има нарушение или подозрение за атака.

заключение

Модел PaaS премахва сложността и разходите за закупуване, управление и поддръжка на хардуер и софтуер, но поставя отговорността за осигуряване на акаунти, приложения и данни на клиента или абоната. Това изисква подход за сигурност, ориентиран към идентичността, който се различава от стратегиите, които компаниите използват в традиционните локални центрове за данни.

Ефективните мерки включват изграждане на сигурност в приложенията, осигуряване на адекватна вътрешна и външна защита, както и наблюдение и одит на дейностите. Оценката на регистрационните файлове помага да се идентифицират уязвимите места в сигурността, както и възможностите за подобряване. В идеалния случай екипите за сигурност трябва да се стремят да се справят с всяка заплаха или уязвимост рано, преди нападателите да ги видят и използват.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map