Kaip apsaugoti platformos kaip paslaugų („PaaS“) aplinką?

Ar savo programoms naudojate „PaaS“, bet nežinote, kaip jas apsaugoti?


„Platform as as a service“ („PaaS“) yra debesų kompiuterijos modelis, teikiantis platformą, kurioje klientai gali kurti, saugoti, naudoti ir valdyti žiniatinklio programas. Tai suteikia optimizuotą aplinką, kurioje komandos gali kurti ir diegti programas nenusipirkdamos ir nevaldydamos pagrindinės IT infrastruktūros ir susijusių paslaugų.

Paprastai platforma suteikia reikiamus išteklius ir infrastruktūrą, kad būtų palaikomas visas programinės įrangos kūrimo ir diegimo gyvavimo ciklas, kartu suteikiant kūrėjams ir vartotojams prieigą iš bet kurios interneto vietos. „PaaS“ pranašumai apima, bet tuo neapsiribojant, paprastumą, patogumą, mažesnes išlaidas, lankstumą ir mastelį.

Paprastai „PaaS“ saugojimas skiriasi nuo tradicinio duomenų bazės, esančios vietoje, kaip mes matysime.

„PaaS“ aplinka priklauso nuo: bendras saugumo modelis. Teikėjas apsaugo infrastruktūrą, o „PaaS“ klientai yra atsakingi už savo paskyrų, programų ir platformoje esančių duomenų apsaugą. Idealiu atveju saugumas pereina nuo prielaidos prie asmens tapatybės perimetro saugumo modelio.

Tai reiškia, kad „PaaS“ klientas turi daugiau dėmesio skirti tapatybei, kaip pagrindiniam saugumo perimetrui. Svarbiausi klausimai yra apsauga, testavimas, kodas, duomenys ir konfigūracijos, darbuotojai, vartotojai, autentifikavimas, operacijos, stebėjimas ir žurnalai.

Tai reikia padaryti daug. Ar ne??

Nesijaudink; leisk man žingsnis po žingsnio nukreipti tave.

Apsaugokite programas nuo įprastų ir netikėtų išpuolių

Vienas geriausių būdų yra įdiegti realaus laiko automatinės apsaugos sprendimą su galimybe greitai ir automatiškai aptikti ir blokuoti bet kokią ataką. „PaaS“ abonentai gali naudotis platformoje pateiktomis saugos priemonėmis arba ieškoti trečiųjų šalių galimybių, tenkinančių jų reikalavimus.

Idealus įrankis turėtų užtikrinti apsaugą realiuoju laiku, tuo pačiu automatiškai aptikdamas ir blokuodamas neteisėtą prieigą, išpuolius ar pažeidimus.

Šaltinis: comodo.com

Jis turėtų turėti galimybę patikrinti, ar nėra neįprastos veiklos, kenkėjiškų vartotojų, įtartinų prisijungimų, blogų žinučių, perimtos paskyros ir bet kokia kita anomalija, galinti sukelti kompromisą. Be įrankių naudojimo, reikia įdiegti ir programos saugumą, kad ji būtų apsaugota.

Apsaugokite vartotojų abonementus ir programų išteklius

Kiekvienas sąveikos taškas paprastai yra potencialus puolimo paviršius. Geriausias būdas užkirsti kelią išpuoliams yra sumažinti arba apriboti programų pažeidžiamumą ir išteklius, prie kurių gali prisijungti nepatikimi vartotojai. Taip pat svarbu reguliariai ir automatiškai pataisyti ir atnaujinti apsaugos sistemas, kad būtų pašalinti trūkumai.

Nors paslaugų teikėjas apsaugo platformą, klientas yra labiau atsakingas už sąskaitos ir programų apsaugą. Tai reiškia, kad reikia naudoti saugos strategijų rinkinį, pavyzdžiui, integruotos platformos saugos funkcijų, priedų ir trečiųjų šalių įrankių derinį, sustiprinantį paskyrų, programų ir duomenų apsaugą. Tai taip pat užtikrina, kad prieigą prie sistemos galėtų pasiekti tik įgalioti vartotojai ar darbuotojai.

Kita priemonė – kuo mažesnis darbuotojų, turinčių administravimo teises, skaičius nustatant audito mechanizmą, pagal kurį būtų galima nustatyti rizikingą vidaus grupių ir įgaliotų išorės vartotojų veiklą..

Administratoriai taip pat turėtų įgyvendinti mažiausias vartotojo teises. Naudodamiesi šiuo metodu, vartotojai turėtų turėti tik mažiausias privilegijas, leidžiančias tinkamai paleisti programas ar tinkamai atlikti kitus vaidmenis. Tai sumažina atakos paviršių, piktnaudžiavimą prieigos teisėmis ir privilegijuotų išteklių ekspoziciją.

Nuskaitykite programą, ar nėra saugos spragų

Atlikite rizikos vertinimą, kad nustatytumėte, ar programose ir jos bibliotekose nėra kokių nors grėsmių saugumui ar pažeidžiamumų. Naudokite išvadas, kad pagerintumėte visų komponentų apsaugą. Idealiu atveju nustatykite reguliarų nuskaitymą ir suplanuokite tai taip, kad jis kasdien vyktų automatiškai arba bet kokiu kitu intervalu, atsižvelgiant į programos jautrumą ir galimas saugumo grėsmes..

Jei įmanoma, naudokite sprendimą, kuris gali būti integruotas su kitomis priemonėmis, tokiomis kaip ryšių programinė įranga, arba turi įmontuotą funkciją, kad įspėtų susijusius žmones, kai jie nustato saugumo grėsmę ar užpuolimą..

Išbandykite ir ištaisykite saugos problemas priklausomybėse

Paprastai programos priklausys nuo tiesioginių ir netiesioginių priklausomybių, kurios dažniausiai yra atvirojo kodo. Bet kokie šių komponentų trūkumai gali pašalinti saugos spragas programoje, jei jie nebus pašalinti.

Gera praktika yra išanalizuoti visus vidinius ir išorinius programų komponentus, atlikti API skverbties testus, patikrinti trečiųjų šalių tinklus ir dar daugiau. Kai kurios veiksmingos priemonės pažeidžiamumui pašalinti yra priklausomybės atnaujinimas ar pakeitimas saugia versija, pataisymas ir kt..

Snykas vertėtų pabandyti stebėti saugumo trūkumus priklausomybėse.

Atlikite skverbties testus ir grėsmių modeliavimą

Skverbties bandymai padeda nustatyti ir pašalinti saugumo spragas ar pažeidžiamumus, kol užpuolikai gali jas rasti ir išnaudoti. Kadangi skverbties testai dažniausiai yra agresyvūs, jie gali pasirodyti kaip DDoS išpuoliai, todėl būtina suderinti veiksmus su kitomis saugumo komandomis, kad būtų išvengta melagingų aliarmų..

Grėsmių modeliavimas apima galimų atakų, kylančių iš patikimų sienų, modeliavimą. Tai padeda patikrinti, ar yra dizaino trūkumų, kuriuos užpuolikai gali išnaudoti. Modeliavimas aprūpina IT grupes žvalgybos žvalgyba, kurią jie gali naudoti padidindami saugumą ir kurdami atsakomąsias priemones nustatytiems trūkumams ar grėsmėms pašalinti..

Stebėkite veiklą & prieiga prie failų

Stebėdami privilegijuotas paskyras, saugos komandos gali įgyti daugiau informacijos ir suprasti, kaip vartotojai naudojasi platforma. Tai leidžia saugos komandoms nustatyti, ar privilegijuotų vartotojų veikla gali kelti galimą saugumo riziką ar atitikties problemas.

Stebėkite ir registruokite, ką vartotojai daro su savo teisėmis, taip pat su failais vykdoma veikla. Tai atkreipia dėmesį į tokias problemas kaip įtartina prieiga, modifikacijos, neįprasti atsisiuntimai ar įkėlimai ir tt. Failo veiklos stebėjimas taip pat turėtų pateikti visų vartotojų, kurie pasiekė failą, sąrašą, jei prireiktų ištirti pažeidimą..

Tinkamas sprendimas turėtų turėti galimybę nustatyti vidines grėsmes ir didelės rizikos vartotojus, ieškant tokių problemų kaip vienalaikis prisijungimas, įtartina veikla ir daug nepavykusių prisijungimo bandymų. Kiti rodikliai yra prisijungimas keistomis valandomis, įtartinų failų ir duomenų atsisiuntimas ar įkėlimas ir tt Jei įmanoma, automatinės švelninimo priemonės blokuos bet kokią įtartiną veiklą ir įspės saugos komandas, kad jos ištirtų pažeidimą, taip pat pašalintų bet kokius saugumo pažeidimus..

Saugūs duomenys ramybės ir tranzito metu

Geriausia praktika yra užšifruoti duomenis saugojimo ir tranzito metu. Ryšio kanalų apsauga apsaugo nuo galimų išpuolių, kai duomenys keliauja internetu.

Jei dar ne, įdiekite HTTPS įgalindami TLS sertifikatą šifruoti ir apsaugoti ryšių kanalą ir atitinkamai perduodamus duomenis..

Visada patvirtinkite duomenis

Tai užtikrina, kad įvesties duomenys yra tinkamo formato, teisingi ir saugūs.

Visus duomenis, tiek vidinius vartotojus, tiek išorinių patikimų ir nepatikimų šaltinių saugos komandas, reikia traktuoti kaip didelės rizikos komponentus. Idealiu atveju prieš įkeldami duomenis patikrinkite kliento pusėje ir atlikdami saugos patikrinimus užtikrinsite, kad tik švarūs duomenys praeina blokuojant pažeistus ar virusų užkrėstus failus..

Kodo saugumas

Išanalizuokite pažeidžiamumų kodą kūrimo gyvavimo ciklo metu. Tai prasideda nuo pradinių etapų, o kūrėjai turėtų diegti programą tik patvirtinę, kad kodas yra saugus.

Vykdykite kelių veiksnių autentifikavimą

Įgalinus kelių veiksnių autentifikavimą, pridedamas papildomas apsaugos sluoksnis, kuris padidina saugumą ir užtikrina, kad tik įgalioti vartotojai turėtų prieigą prie programų, duomenų ir sistemų. Tai gali būti slaptažodžio, OTP, SMS, programų mobiliesiems ir tt derinys.

Vykdykite griežtą slaptažodžių politiką

Dauguma žmonių naudoja silpnus slaptažodžius, kuriuos lengva atsiminti, ir niekada negali jų pakeisti, jei nebus priversti. Tai yra saugumo rizika, kurią administratoriai gali sumažinti vykdydami griežtą slaptažodžių politiką.

Tam reikia tvirtų slaptažodžių, kurie pasibaigia po nustatyto laikotarpio. Kita susijusi saugumo priemonė yra paprasto teksto kredencialų saugojimo ir siuntimo nutraukimas. Geriausia šifruoti autentifikavimo žetonus, kredencialus ir slaptažodžius.

Naudokite standartinį autentifikavimą ir autorizaciją

Geriausia yra naudoti standartinius, patikimus ir patikrintus autentifikavimo ir autorizacijos mechanizmus bei protokolus, tokius kaip „OAuth2“ ir „Kerberos“. Nors galite kurti priskirtus autentifikavimo kodus, jie yra linkę į klaidas ir pažeidžiamumus, todėl gali atskleisti sistemas puolėjams.

Pagrindiniai valdymo procesai

Naudokite stiprius šifravimo raktus ir venkite trumpų ar silpnų raktų, kuriuos užpuolikai gali nuspėti. Taip pat naudokite saugius raktų paskirstymo mechanizmus, reguliariai pasukite raktus, visada atnaujinkite juos laiku, prireikus atšaukite juos ir venkite sunkaus kodavimo į programas..

Automatinio ir reguliaraus raktų pasukimo naudojimas pagerina saugumą ir atitikimą, tuo pačiu ribojant užšifruotų duomenų kiekį.

Tvarkykite prieigą prie programų ir duomenų

Sukurkite ir įgyvendinkite valdomą ir tikrintiną saugos politiką laikydamiesi griežtų prieigos taisyklių. Geriausias būdas yra suteikti įgaliotiems darbuotojams ir vartotojams tik būtinas prieigos teises ir ne daugiau.

Tai reiškia, kad reikiamo lygio prieigą reikia priskirti tik programoms ir duomenims, kurių jiems reikia savo pareigoms atlikti. Taip pat turėtų būti reguliariai stebima, kaip žmonės naudojasi priskirtomis teisėmis, ir atmesti teises, kuriomis jie piktnaudžiauja arba kurių nereikia.

Vykdoma operacija

Yra keletas dalykų, kuriuos reikia padaryti.

  • Nuolatinis programų tikrinimas, reguliari priežiūra, pataisymas ir programų atnaujinimas, siekiant nustatyti ir ištaisyti kylančias saugos spragas ir atitikties problemas.
  • Turto, vartotojų ir privilegijų audito mechanizmo sukūrimas. Tada saugos komandos turėtų reguliariai jas peržiūrėti, kad nustatytų ir spręstų visas problemas, taip pat panaikintų prieigos teises, kuriomis vartotojai piktnaudžiauja ar kurių nereikia.
  • Parengti ir įdiegti reagavimo į incidentus planą, kuris parodo, kaip pašalinti grėsmes ir pažeidžiamumus. Idealiu atveju plane turėtų būti numatytos technologijos, procesai ir žmonės.

Rinkti ir analizuoti žurnalus automatiškai

Programos, API ir sistemų žurnalai teikia daug informacijos. Įdiegę automatinį žurnalų rinkimo ir analizės įrankį, naudinga įžvalga apie tai, kas vyksta. Dažniausiai registravimo paslaugos, teikiamos kaip integruotos funkcijos arba trečiųjų šalių priedai, yra puikios tikrinant, ar laikomasi saugos politikos ir kitų taisyklių, taip pat atliekant auditus.

Naudokite žurnalo analizatorių, kuris yra integruotas su perspėjimo sistema, palaiko jūsų programų technikos rinkinius ir pateikia prietaisų skydelį ir kt..

Laikykite ir peržiūrėkite audito seką

Geriausia yra saugoti vartotojo ir kūrėjo veiklos, tokios kaip sėkmingi ir nesėkmingi prisijungimo bandymai, slaptažodžio pakeitimai ir kiti su paskyra susiję įvykiai, audito pėdsakus. Automatinė funkcija gali naudoti skaitiklius, kad apsaugotų nuo įtartinos ir nesaugios veiklos.

Audito seka gali būti naudinga tiriant, kai yra pažeidimas ar įtariama ataka.

Išvada

„PaaS“ modelis pašalina aparatūros ir programinės įrangos pirkimo, tvarkymo ir priežiūros sudėtingumą ir sąnaudas, tačiau užsakovo, abonento atsakomybė už paskyrų, programų ir duomenų apsaugą tenka atsakomybei. Tam reikalingas į identitetą orientuotas saugumo metodas, kuris skiriasi nuo strategijų, kurias įmonės naudoja tradiciniuose vietoje esančiuose duomenų centruose.

Veiksmingos priemonės yra programų saugumo užtikrinimas, tinkamos vidinės ir išorinės apsaugos užtikrinimas, veiklos stebėjimas ir auditas. Įrašų įvertinimas padeda nustatyti saugos spragas ir patobulinimo galimybes. Idealiu atveju saugumo komandos turi stengtis pašalinti bet kokią grėsmę ar pažeidžiamumą anksti, kol užpuolikai jas mato ir išnaudoja.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map