Kako osigurati platformu kao uslužno (PaaS) okruženje?

Koristite li PaaS za svoje aplikacije, ali niste sigurni kako ih osigurati?


Platforma kao usluga (PaaS) je model računalstva u oblaku koji pruža platformu na kojoj korisnici mogu razvijati, osigurati, pokretati i upravljati web aplikacijama. Pruža optimizirano okruženje u kojem timovi mogu razvijati i rasporediti aplikacije bez kupnje i upravljanja temeljnom IT infrastrukturom i pratećim uslugama.

Platforma pruža općenito potrebne resurse i infrastrukturu za podršku čitavog životnog ciklusa razvoja i korištenja softvera, omogućujući programerima i korisnicima pristup s bilo kojeg mjesta na internetu. Prednosti PaaS-a uključuju, ali nisu ograničene na, jednostavnost, praktičnost, niže troškove, fleksibilnost i skalabilnost.

Osiguranje PaaS-a obično se razlikuje od tradicionalnog lokalnog podatkovnog centra kao što ćemo vidjeti.

PaaS okruženje se oslanja na zajednički sigurnosni model. Davatelj osigurava infrastrukturu dok su korisnici PaaS-a odgovorni za zaštitu svojih računa, aplikacija i podataka koji se nalaze na platformi. U idealnom slučaju, zaštita prelazi s pretpostavke na sigurnosni model perimetra identiteta.

To znači da se PaaS kupac mora više usredotočiti na identitet kao primarni sigurnosni obod. Pitanja koja treba usmjeriti uključuju zaštitu, testiranje, kôd, podatke i konfiguracije, zaposlenike, korisnike, provjeru autentičnosti, operacije, nadzor i zapise.

To je puno posla. Zar ne?

Ne brini; dopustite mi da vas vodim korak po korak.

Štiti aplikacije od uobičajenih i neočekivanih napada

Jedan od najboljih pristupa je implementacija automatskog rješenja zaštite u stvarnom vremenu s mogućnošću brzog i automatskog otkrivanja i blokiranja bilo kojeg napada. PaaS pretplatnici mogu koristiti sigurnosne alate koji se pružaju na platformi ili potražiti mogućnosti trećih strana koje odgovaraju njihovim zahtjevima.

Idealan alat trebao bi pružati zaštitu u stvarnom vremenu, a automatski otkriva i blokira neovlašteni pristup, napade ili kršenja.

Izvor: comodo.com

Trebao bi imati mogućnost provjere neobičnih aktivnosti, zlonamjernih korisnika, sumnjivih prijava, loših botova, preuzimanja računa i bilo koje druge anomalije koja može dovesti do kompromisa. Pored korištenja alata, potrebno je ugraditi sigurnost u aplikaciju tako da ima i svoju zaštitu.

Zaštitite korisničke račune i resurse aplikacija

Svaka točka interakcije obično je potencijalna površina napada. Najbolji način za sprječavanje napada je smanjenje ili ograničenje izloženosti ranjivosti aplikacija i resursa kojima nepouzdani korisnici mogu pristupiti. Također je važno redovito i automatski zakrpati i ažurirati sigurnosne sustave za smanjenje slabosti.

Iako davatelj usluga osigurava platformu, kupac ima značajniju odgovornost za zaštitu računa i aplikacija. To znači da upotreba skupa sigurnosnih strategija, poput kombinacije ugrađenih sigurnosnih značajki platforme, dodataka i alata treće strane, povećava zaštitu računa, aplikacija i podataka. Također, osigurava da samo ovlašteni korisnici ili zaposlenici mogu pristupiti sustavu.

Druga je mjera smanjiti broj zaposlenika s administrativnim pravima na najmanju moguću razinu, uspostavljajući revizijski mehanizam za prepoznavanje rizičnih aktivnosti unutarnjih timova i ovlaštenih vanjskih korisnika.

Admini bi također trebali provoditi najmanje korisničkih privilegija. S ovim pristupom korisnici bi trebali imati samo najmanje povlastice koje im omogućuju pravilno pokretanje aplikacija ili obavljanje drugih uloga. To smanjuje površinu napada, zlouporabu prava pristupa i izlaganje povlaštenih resursa.

Skenirajte aplikaciju radi sigurnosnih ranjivosti

Izvršite procjenu rizika da biste utvrdili postoje li sigurnosne prijetnje ili ranjivosti u aplikacijama i u njenim knjižnicama. Koristite nalaze za poboljšanje zaštite svih komponenti. U idealnom slučaju uspostavite redovito skeniranje i zakažite to kako bi se svaki dan pokrenuo automatski ili bilo koji drugi interval, ovisno o osjetljivosti aplikacije i potencijalnim sigurnosnim prijetnjama.

Ako je moguće, koristite rješenje koje se može integrirati s drugim alatima poput komunikacijskog softvera ili ima ugrađenu značajku za upozoravanje relevantnih ljudi kad god prepoznaju sigurnosnu prijetnju ili napad.

Testirajte i popravite sigurnosna pitanja u ovisnostima

Aplikacije obično ovise o izravnim i neizravnim ovisnostima, koje su uglavnom open source. Sve pogreške ovih komponenti mogu uvesti sigurnosne ranjivosti u aplikaciju ako ih se ne riješi.

Dobra praksa je analiza svih unutarnjih i vanjskih komponenti aplikacija, provođenje testova penetracije API-ja, provjeravanje mreža trećih strana i još mnogo toga. Neki od učinkovitih načina popravljanja ranjivosti uključuju nadogradnju ili zamjenu ovisnosti sigurnom verzijom, zakrpanjem itd..

Snyk vrijedilo bi pokušati nadgledati sigurnosne nedostatke u ovisnostima.

Izvršite ispitivanje penetracije i modeliranje prijetnji

Probijanje prodorom pomaže u prepoznavanju i rješavanju sigurnosnih rupa ili ranjivosti prije nego što ih napadači pronađu i iskoriste. Budući da su testovi penetracije obično agresivni, mogu se pojaviti kao DDoS napadi, a neophodno je koordinirati s drugim sigurnosnim timovima kako ne bi došlo do stvaranja lažnih alarma.

Modeliranje prijetnji uključuje simuliranje mogućih napada koji bi potjecali s pouzdanih granica. To pomaže da se utvrdi postoje li nedostaci u dizajnu koje napadači mogu iskoristiti. Modeliranje opremlja IT timove informacijama o prijetnjama koje mogu koristiti za poboljšanje sigurnosti i razvoj protumjera za rješavanje svih utvrđenih slabosti ili prijetnji.

Pratite aktivnosti & pristup datotekama

Nadgledanje povlaštenih računa omogućuje sigurnosnim timovima da dobiju vidljivost i razumiju kako korisnici koriste platformu. Omogućuje sigurnosnim timovima da utvrde postoje li aktivnosti povlaštenih korisnika potencijalne sigurnosne rizike ili probleme s poštivanjem zakona.

Pratite i zabilježite što korisnici rade sa svojim pravima, kao i aktivnosti na datotekama. Ovo traži probleme poput sumnjivog pristupa, modifikacija, neobičnog preuzimanja ili prijenosa, itd. Nadzor aktivnosti datoteka trebao bi također pružiti popis svih korisnika koji su pristupili datoteci u slučaju da postoji potreba za istragom kršenja..

Pravo rješenje treba imati sposobnost prepoznavanja unutarnjih prijetnji i korisnika visokog rizika tražeći probleme poput istodobnih prijava, sumnjivih aktivnosti i mnogih neuspjelih pokušaja prijave. Ostali pokazatelji uključuju prijavu u neobično vrijeme, sumnjive preuzimanja datoteka ili prijenosa podataka i sl. Kada je to moguće, automatske mjere ublažavanja blokirat će sve sumnjive aktivnosti i upozoriti sigurnosne timove da istraže povredu kao i riješiti sve sigurnosne ranjivosti.

Osigurajte podatke u mirovanju i tijekom kretanja

Najbolja praksa je šifriranje podataka tijekom pohrane i kada su u tranzitu. Osiguravanje komunikacijskih kanala sprječava moguće napade čovjekove sredine dok podaci putuju Internetom.

Ako već nije, implementirajte HTTPS omogućavanjem TLS certifikata za šifriranje i zaštitu komunikacijskog kanala, a time i podataka u tranzitu.

Uvijek provjerite podatke

Time se osigurava da su ulazni podaci ispravnog formata, valjani i sigurni.

Svi podaci, bilo da se radi o internim korisnicima ili od sigurnosnih timova vanjskih pouzdanih i nepouzdanih izvora, tretiraju podatke kao sastavne dijelove visokog rizika. U idealnom slučaju, izvršite provjeru na strani klijenta i sigurnosne provjere prije prijenosa podataka osiguravaju da prolaze samo čisti podaci dok blokiraju kompromitirane ili virusom zaražene datoteke.

Sigurnost koda

Analizirajte kod za ranjivosti tijekom razvojnog životnog ciklusa. Ovo polazi od početnih faza, a programeri bi trebali primiti aplikaciju u proizvodnju tek nakon što potvrde da je kôd siguran.

Provedite višefaktorsku provjeru autentičnosti

Omogućivanje multifaktorske provjere identiteta dodaje dodatni zaštitni sloj koji poboljšava sigurnost i osigurava da samo ovlašteni korisnici imaju pristup aplikacijama, podacima i sustavima. To može biti kombinacija lozinke, OTP-a, SMS-a, mobilnih aplikacija itd.

Provedite snažna pravila o zaporkama

Većina ljudi koristi slabe lozinke koje se lako pamte i nikad ih ne mogu promijeniti ako nije prisilno. To je sigurnosni rizik koji administratori mogu smanjiti primjenom snažnih pravila o zaporkama.

To bi trebalo zahtijevati snažne lozinke koje istječu nakon određenog razdoblja. Druga sigurnosna mjera je da se zaustavi pohranjivanje i slanje vjerodajnica običnog teksta. U idealnom slučaju kriptirajte žetone provjere autentičnosti, vjerodajnice i lozinke.

Koristite standardnu ​​provjeru autentičnosti i autorizacije

Najbolja praksa je upotreba standardnih, pouzdanih i testiranih mehanizama i protokola za provjeru autentičnosti i autorizacije kao što su OAuth2 i Kerberos. Iako možete razviti prilagođene kodove za provjeru autentičnosti, oni su skloni pogreškama i ranjivostima, pa će vjerojatno izložiti sustave napadačima.

Ključni procesi upravljanja

Koristite jake kriptografske ključeve i izbjegavajte kratke ili slabe tipke koje napadači mogu predvidjeti. Također, koristite sigurne mehanizme raspodjele ključeva, redovno ih okrenite, uvijek ih obnavljajte na vrijeme, opozovite ih kad je potrebno i izbjegavajte tvrdo kodiranje u aplikacije..

Korištenje automatske i redovne rotacije tipki poboljšava sigurnost i usklađenost, dok ograničava količinu šifriranih podataka u riziku.

Upravljanje pristupom aplikacijama i podacima

Razviti i provoditi upravljanu i revizijsku sigurnosnu politiku sa strogim pravilima pristupa. Najbolji je pristup odobriti zaposlenima i korisnicima samo potrebna prava pristupa i ne više.

To znači dodijeliti ispravne razine pristupa samo aplikacijama i podacima koji su im potrebni za obavljanje svojih zadaća. Također, trebalo bi redovito pratiti kako ljudi koriste dodijeljena prava i opozivaju ih koja zloupotrebljavaju ili ne zahtijevaju.

U tijeku je operacija

Treba učiniti nekoliko stvari.

  • Izvođenje kontinuiranog testiranja, redovitog održavanja, zakrpa i ažuriranja aplikacija radi prepoznavanja i popravljanja novih sigurnosnih ranjivosti i problema s usklađenošću..
  • Uspostavljanje mehanizma za reviziju imovine, korisnika i privilegija. Sigurnosni timovi bi ih trebali redovito pregledavati kako bi identificirali i adresirali bilo kakve probleme uz opoziv prava pristupa koje korisnici zloupotrebljavaju ili ne zahtijevaju..
  • Razviti i implementirati plan reakcija na incident koji pokazuje kako riješiti prijetnje i ranjivosti. U idealnom slučaju, plan bi trebao uključivati ​​tehnologije, procese i ljude.

Prikupljajte i analizirajte zapisnike automatski

Aplikacije, API-i i zapisnici sustava pružaju puno informacija. Uvođenje automatskog alata za prikupljanje i analizu zapisnika daje korisne uvide u ono što se događa. Usluge zapisivanja najčešće dostupne kao ugrađene značajke ili dodaci trećih strana sjajne su za provjeru usklađenosti sa sigurnosnim pravilima i drugim propisima kao i za revizije..

Upotrijebite analizator zapisnika koji se integrira sa sustavom uzbunjivanja, podržava vaše tehničke skupove aplikacija i pruža nadzornu ploču itd..

Držite i pregledajte revizorski trag

Najbolja je praksa pohraniti revizijski trag aktivnosti korisnika i razvojnog programera, poput uspješnih i neuspjelih pokušaja prijave, promjene lozinke i drugih događaja povezanih s računom. Automatska značajka može koristiti šaltere za zaštitu od sumnjivih i nesigurnih aktivnosti.

Revizijski trag može biti koristan za istraživanje kada postoji kršenje ili sumnja na napad.

Zaključak

PaaS model uklanja složenost i troškove kupnje, upravljanja i održavanja hardvera i softvera, ali stavlja odgovornost na osiguranje računa, aplikacija i podataka na kupca ili pretplatnika. Za to je potreban sigurnosni pristup usmjeren na identitet koji se razlikuje od strategija koje tvrtke koriste u tradicionalnim centrima podataka.

Učinkovite mjere uključuju ugradnju sigurnosti u aplikacije, pružajući odgovarajuću unutarnju i vanjsku zaštitu, kao i praćenje i reviziju aktivnosti. Procjena zapisnika pomaže u prepoznavanju sigurnosnih ranjivosti kao i mogućnosti poboljšanja. U idealnom slučaju, sigurnosni timovi moraju nastojati riješiti bilo kakvu prijetnju ili ranjivost rano prije nego što ih napadači vide i iskoriste.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map