Kako zavarovati platformo kot storitveno (PaaS) okolje?

Ali PaaS uporabljate za svoje aplikacije, vendar niste prepričani, kako jih zavarovati?


Platforma kot storitev (PaaS) je model računalništva v oblaku, ki ponuja platformo, kjer lahko stranke razvijajo, zaščitijo, zaženejo in upravljajo spletne aplikacije. Ponuja optimizirano okolje, v katerem ekipe lahko razvijajo in uvajajo aplikacije, ne da bi kupile in upravljale osnovno informacijsko infrastrukturo in z njimi povezane storitve.

Na splošno platforma zagotavlja potrebne vire in infrastrukturo za podporo celotnega življenjskega cikla razvoja in uvajanja programske opreme, hkrati pa razvijalcem in uporabnikom omogoča dostop od kjer koli preko interneta. Prednosti PaaS vključujejo, vendar niso omejene na, preprostost, udobje, nižje stroške, prilagodljivost in prilagodljivost.

Običajno se zavarovanje PaaS razlikuje od tradicionalnega vgrajenega podatkovnega centra, kot ga bomo videli.

Okolje PaaS se opira na a skupni varnostni model. Ponudnik zavaruje infrastrukturo, medtem ko so uporabniki PaaS-a odgovorni za zaščito svojih računov, aplikacij in podatkov, ki se nahajajo na platformi. V idealnem primeru se varnost preusmeri od modela nastanka na varnostni model perimetra.

To pomeni, da se mora stranka PaaS bolj osredotočiti na identiteto kot primarni varnostni obod. Težave, na katere se je treba osredotočiti, vključujejo zaščito, testiranje, kodo, podatke in konfiguracije, zaposlene, uporabnike, preverjanje pristnosti, operacije, spremljanje in dnevnike.

To je veliko dela. Kajne?

Ne skrbi; naj vas vodim korak za korakom.

Zaščitite aplikacije pred običajnimi in nepričakovanimi napadi

Eden najboljših pristopov je uvedba sprotne avtomatske rešitve zaščite z možnostjo hitrega in samodejnega zaznavanja in blokiranja katerega koli napada. Naročniki PaaS lahko uporabljajo varnostna orodja na platformi ali iščejo možnosti tretjih oseb, ki ustrezajo njihovim zahtevam.

Idealno orodje bi moralo zagotavljati zaščito v realnem času, hkrati pa samodejno zaznati in blokirati nepooblaščen dostop, napade ali kršitve.

Vir: comodo.com

Moral bi imeti možnost preverjanja nenavadnih dejavnosti, zlonamernih uporabnikov, sumljivih prijav, slabih botov, prevzemov računov in kakršne koli druge anomalije, ki lahko privede do kompromisa. Poleg uporabe orodij je treba v aplikacijo vgraditi varnost, tako da ima svojo zaščito.

Zaščitite uporabniške račune in vire aplikacij

Vsaka točka interakcije je običajno potencialna napadalna površina. Najboljši način za preprečevanje napadov je zmanjšanje ali omejitev izpostavljenosti ranljivosti aplikacije in virov, do katerih lahko dostopajo nezaupljivi uporabniki. Prav tako je pomembno, da se varnostni sistemi redno in samodejno popravljajo in posodabljajo, da se zmanjšajo pomanjkljivosti.

Čeprav ponudnik storitev zavaruje platformo, ima stranka bistveno večjo odgovornost za zaščito računa in aplikacij. To pomeni, da uporaba nabora varnostnih strategij, kot je kombinacija vgrajenih varnostnih funkcij platforme, dodatkov in zunanjih orodij, izboljša zaščito računov, aplikacij in podatkov. Prav tako zagotavlja, da do sistema lahko dostopajo le pooblaščeni uporabniki ali zaposleni.

Drugi ukrep je zmanjšati število zaposlenih s skrbniškimi pravicami na najmanjši možni ravni, hkrati pa vzpostaviti revizijski mehanizem za prepoznavanje tveganih dejavnosti s strani notranjih skupin in pooblaščenih zunanjih uporabnikov.

Skrbniki bi morali uveljaviti tudi najmanj uporabniških privilegijev. S tem pristopom bi morali imeti uporabniki le najmanj privilegijev, ki jim omogočajo pravilno izvajanje programov ali izvajanje drugih vlog. To zmanjšuje napadalno površino, zlorabo pravic dostopa in izpostavljenost privilegiranih virov.

Aplikacija za skeniranje za varnostne ranljivosti

Opravite oceno tveganja, da ugotovite, ali obstajajo kakršne koli varnostne grožnje ali ranljivosti v aplikacijah in njihovih knjižnicah. Ugotovitve uporabite za izboljšanje zaščite vseh komponent. V idealnem primeru vzpostavite redno skeniranje in načrtujte, da se bo vsak dan samodejno ali kateri koli drug interval izvajal, odvisno od občutljivosti aplikacije in morebitnih varnostnih groženj.

Če je mogoče, uporabite rešitev, ki se lahko integrira z drugimi orodji, kot je komunikacijska programska oprema ali ima vgrajeno funkcijo za opozarjanje ustreznih ljudi, kadar koli ugotovi varnostno grožnjo ali napad.

Preizkusite in odpravite varnostna vprašanja v odvisnosti

Navadno so aplikacije odvisne od neposrednih in posrednih odvisnosti, ki so večinoma odprte kode. Vse pomanjkljivosti teh komponent lahko v aplikacijo uvedejo varnostne ranljivosti, če jih ne odpravite.

Dobra praksa je analizirati vse notranje in zunanje komponente aplikacij, izvajati teste penetracije API-ja, preverjati omrežja drugih proizvajalcev in drugo. Nekatera učinkovita sredstva za odpravljanje ranljivosti vključujejo nadgradnjo ali nadomestitev odvisnosti z varno različico, popravkom itd..

Snyk bi bilo vredno poskusiti spremljati varnostne pomanjkljivosti v odvisnosti.

Izvedite penetracijsko testiranje in modeliranje groženj

Penetracijsko testiranje pomaga prepoznati in rešiti varnostne luknje ali ranljivosti, preden jih napadalci najdejo in izkoristijo. Ker so testi penetracije običajno agresivni, se lahko pojavijo kot napadi DDoS, zato je nujno, da se uskladite z drugimi varnostnimi skupinami, da se izognete ustvarjanju lažnih alarmov.

Modeliranje groženj vključuje simulacijo možnih napadov, ki bi prišli iz zaupanja vrednih meja. To pomaga preveriti, ali obstajajo pomanjkljivosti v oblikovanju, ki jih napadalci lahko izkoristijo. Modeliranje IT-ekipe opremi z obveščanjem o grožnjah, ki jih lahko uporabijo za izboljšanje varnosti in razvoj protiukrepov za odkrivanje vseh ugotovljenih šibkosti ali groženj.

Spremljanje dejavnosti & dostop do datotek

Spremljanje privilegiranih računov varnostnim skupinam omogoča vidnost in razumevanje, kako uporabniki uporabljajo platformo. Varnostnim skupinam omogoča, da ugotovijo, ali imajo dejavnosti privilegiranih uporabnikov možna varnostna tveganja ali težave glede skladnosti.

Spremljajte in beležite, kaj uporabniki počnejo s svojimi pravicami, in dejavnosti na datotekah. To išče težave, kot so sumljiv dostop, modifikacije, nenavadni prenosi ali prenosi itd. Nadzor dejavnosti datotek mora prav tako zagotoviti seznam vseh uporabnikov, ki so dostopali do datoteke, če je treba preiskati kršitev..

Prava rešitev mora imeti možnost prepoznavanja notranjih groženj in uporabnikov z visokim tveganjem z iskanjem vprašanj, kot so sočasne prijave, sumljive dejavnosti in številni neuspeli poskusi prijave. Drugi kazalniki vključujejo prijavo ob nenavadnih urah, sumljive prenose datotek in podatkov ali nalaganje podatkov itd. Kadar je mogoče, bodo samodejni ukrepi za ublažitev blokirali kakršne koli sumljive dejavnosti in opozorili varnostne ekipe, naj raziščejo kršitev in odpravijo vse varnostne ranljivosti.

Zaščitite podatke v mirovanju in med prevozom

Najboljša praksa je šifriranje podatkov med shranjevanjem in med prevozom. Zaščita komunikacijskih kanalov preprečuje morebitne napade med sredino, ko podatki potujejo po internetu.

Če še ni, implementirajte HTTPS tako, da omogočite TLS certifikatu šifriranje in zaščito komunikacijskega kanala in posledično podatkov v tranzitu.

Vedno preverite podatke

To zagotavlja, da so vhodni podatki v pravilni obliki, veljavni in varni.

Vsi podatki, bodisi od notranjih uporabnikov bodisi od zunanjih zaupnih in nezaupanja virov varnostnih skupin, morajo podatke obravnavati kot sestavne dele visokega tveganja. V idealnem primeru izvedite preverjanje na strani odjemalca in varnostne preglede pred nalaganjem podatkov, da boste zagotovili, da bodo skozi blokade prešli le čisti podatki, medtem ko blokirate ogrožene ali virusno okužene datoteke.

Varnost kode

Analizirajte kodo za ranljivosti v razvojnem življenjskem ciklu. To se začne od začetnih faz, razvijalci pa bi morali aplikacijo namestiti v produkcijo šele po potrditvi, da je koda varna.

Uveljavite večfaktorno overjanje

Če omogočite večfaktorsko overjanje, dodate dodatno zaščitno plast, ki izboljša varnost in zagotavlja, da imajo samo pooblaščeni uporabniki dostop do aplikacij, podatkov in sistemov. To je lahko kombinacija gesla, OTP, SMS, mobilnih aplikacij itd.

Uveljavite strog pravilnik o geslu

Večina ljudi uporablja šibka gesla, ki si jih je enostavno zapomniti in jih nikoli ne morejo spremeniti, razen če so prisiljena. To je varnostno tveganje, ki ga lahko skrbniki zmanjšajo z uveljavljanjem močnih pravilnikov o geslu.

To bi zahtevalo močna gesla, ki potečejo po določenem obdobju. Drug povezan varnostni ukrep je ustavitev shranjevanja in pošiljanja navadnih besedilnih poverilnic. V idealnem primeru šifrirajte žetone, poverilnice in gesla za preverjanje pristnosti.

Uporabite standardno overjanje in avtorizacijo

Najboljša praksa je uporaba standardnih, zanesljivih in preizkušenih mehanizmov za preverjanje pristnosti in avtorizacije ter protokolov, kot sta OAuth2 in Kerberos. Čeprav lahko razvijete kode za preverjanje pristnosti po meri, so te nagnjene k napakam in ranljivostim, zato lahko sisteme izpostavijo napadalcem.

Ključni procesi upravljanja

Uporabite močne kriptografske ključe in se izogibajte kratkim ali šibkim tipkam, ki jih napadalci lahko predvidijo. Uporabite tudi varne mehanizme za distribucijo ključev, ključe redno, vedno pravočasno obnavljajte, po potrebi prekličite in se izogibajte trdnemu kodiranju v aplikacije.

Uporaba samodejnega in rednega vrtenja tipk izboljša varnost in skladnost, hkrati pa omeji količino ogroženih podatkov.

Upravljajte dostop do aplikacij in podatkov

Razviti in uveljaviti vodljivo in pregledno varnostno politiko s strogimi pravili dostopa. Najboljši pristop je, da pooblaščenim zaposlenim in uporabnikom zagotovimo le potrebne pravice dostopa in nič več.

To pomeni dodelitev pravih ravni dostopa samo do aplikacij in podatkov, ki jih potrebujejo za opravljanje svojih nalog. Prav tako bi bilo treba redno spremljati, kako ljudje uporabljajo dodeljene pravice in prekličejo tiste, ki jih zlorabljajo ali ne potrebujejo.

Tekoča operacija

Treba je narediti več stvari.

  • Neprekinjeno testiranje, redno vzdrževanje, popravljanje in posodabljanje aplikacij za prepoznavanje in odpravljanje nastalih ranljivosti varnosti in težav s skladnostjo.
  • Vzpostavitev mehanizma revizije za sredstva, uporabnike in privilegije. Nato bi jih varnostne ekipe morale redno pregledovati, da bi odkrile in obravnavale morebitne težave, poleg preklica pravic dostopa, ki jih uporabniki zlorabljajo ali ne potrebujejo..
  • Razviti in razviti načrt odzivanja na incident, ki prikazuje, kako se lotiti groženj in ranljivosti. V idealnem primeru bi moral načrt vključevati tehnologije, procese in ljudi.

Dnevno zbiranje in analiziranje dnevnikov

Dnevniki aplikacij, API-jev in sistemskih dnevnikov zagotavljajo veliko informacij. Uvajanje avtomatskega orodja za zbiranje in analizo dnevnikov ponuja koristne vpoglede v dogajanje. Najpogosteje so storitve beleženja, ki so na voljo bodisi vgrajene funkcije ali dodatki tretjih oseb, odlične pri preverjanju skladnosti z varnostnimi politikami in drugimi predpisi, pa tudi pri revizijah.

Uporabite analizator dnevnikov, ki se integrira s sistemom za opozarjanje, podpira vašo aplikacijo in ponuja nadzorno ploščo itd..

Hranite in pregledajte revizijsko sled

Najboljša praksa je, da shranite sled revizije dejavnosti uporabnikov in razvijalcev, kot so uspešni in neuspeli poskusi prijave, spremembe gesla in drugi dogodki, povezani z računom. Samodejna funkcija lahko s števci zaščiti pred sumljivimi in negotovimi dejavnostmi.

Revizijska sled je lahko koristna za preiskavo, ko pride do kršitve ali suma na napad.

Zaključek

PaaS model odstranjuje zapletenost in stroške nakupa, upravljanja in vzdrževanja strojne in programske opreme, vendar nalaga odgovornost za zavarovanje računov, aplikacij in podatkov za stranko ali naročnika. Za to je potreben varnostni pristop, ki je usmerjen v identiteto, in se razlikuje od strategij, ki jih podjetja uporabljajo v tradicionalnih lokacijskih podatkovnih centrih.

Učinkoviti ukrepi vključujejo gradnjo varnosti v aplikacijah, zagotavljanje ustrezne notranje in zunanje zaščite ter spremljanje in revizijo dejavnosti. Ocenjevanje dnevnikov pomaga prepoznati varnostne ranljivosti in tudi izboljšati možnosti. V idealnem primeru morajo biti varnostne ekipe usmerjene v reševanje kakršne koli grožnje ali ranljivosti zgodaj, preden jih napadalci vidijo in izkoristijo.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map