Ako zabezpečiť platformu ako službu (PaaS)?

Používate PaaS pre svoje aplikácie, ale neviete, ako ich zabezpečiť?


Platforma ako služba (PaaS) je cloud computing model, ktorý poskytuje platformu, na ktorej môžu zákazníci vyvíjať, zabezpečovať, spúšťať a spravovať webové aplikácie. Poskytuje optimalizované prostredie, v ktorom tímy môžu vyvíjať a nasadzovať aplikácie bez nákupu a správy základnej IT infraštruktúry a súvisiacich služieb.

Vo všeobecnosti táto platforma poskytuje potrebné zdroje a infraštruktúru na podporu celého životného cyklu vývoja a zavádzania softvéru a zároveň umožňuje vývojárom a používateľom prístup odkiaľkoľvek cez internet. Medzi výhody systému PaaS patrí okrem iného jednoduchosť, pohodlie, nižšie náklady, flexibilita a škálovateľnosť.

Zabezpečenie PaaS sa zvyčajne, ako uvidíme, líši od tradičného dátového centra.

Prostredie PaaS sa spolieha na a model zdieľaného zabezpečenia. Poskytovateľ zabezpečuje infraštruktúru, zatiaľ čo zákazníci PaaS sú zodpovední za ochranu svojich účtov, aplikácií a údajov hostovaných na platforme. V ideálnom prípade sa bezpečnosť presunie z bezpečnostného modelu na mieste do obvodu identity.

To znamená, že zákazník PaaS sa musí viac zamerať na identitu ako primárny bezpečnostný obvod. Medzi problémy, na ktoré sa treba zamerať, patrí ochrana, testovanie, kód, údaje a konfigurácie, zamestnanci, používatelia, autentifikácia, operácie, monitorovanie a protokoly..

To je veľa. Nie je to tak?

Nerobte si starosti; dovoľte mi vás krok za krokom viesť.

Chráňte aplikácie pred bežnými a neočakávanými útokmi

Jedným z najlepších prístupov je nasadenie riešenia automatickej ochrany v reálnom čase so schopnosťou rýchlo a automaticky detekovať a blokovať akýkoľvek útok. Odberatelia PaaS môžu používať bezpečnostné nástroje poskytované na platforme alebo hľadať možnosti tretích strán, ktoré zodpovedajú ich požiadavkám.

Ideálny nástroj by mal poskytovať ochranu v reálnom čase a zároveň automaticky zisťovať a blokovať neoprávnený prístup, útoky alebo porušenia.

Zdroj: comodo.com

Mala by byť schopná kontrolovať nezvyčajné činnosti, škodlivých používateľov, podozrivé prihlásenie, zlé roboty, prevzatie účtu a akékoľvek iné anomálie, ktoré môžu viesť ku kompromisu. Okrem použitia nástrojov je potrebné do aplikácie zabudovať zabezpečenie tak, aby bolo chránené.

Chráňte používateľské účty a zdroje aplikácií

Každý bod interakcie je zvyčajne potenciálnym útokom. Najlepším spôsobom, ako zabrániť útokom, je znížiť alebo obmedziť vystavenie slabých miest aplikácie a zdrojov, ku ktorým majú nedôveryhodní používatelia prístup. Je tiež dôležité pravidelne a automaticky opravovať a aktualizovať bezpečnostné systémy, aby sa znížili nedostatky.

Aj keď poskytovateľ služieb zabezpečuje platformu, zákazník má väčšiu zodpovednosť za ochranu účtu a aplikácií. To znamená, že použitie sady bezpečnostných stratégií, ako napríklad kombinácia zabudovaných bezpečnostných funkcií platformy, doplnkov a nástrojov tretích strán, zvyšuje ochranu účtov, aplikácií a údajov. Zabezpečuje tiež prístup do systému iba pre oprávnených používateľov alebo zamestnancov.

Ďalším opatrením je udržať počet zamestnancov s právami správcu na minime a zároveň vytvoriť mechanizmus auditu na identifikáciu rizikových činností interných tímov a oprávnených externých používateľov..

Správcovia by mali tiež uplatňovať najmenšie používateľské oprávnenia. Pri tomto prístupe by používatelia mali mať len tie najmenšie oprávnenia, ktoré im umožňujú správne spúšťať aplikácie alebo vykonávať iné úlohy. Tým sa znižuje povrch útoku, zneužitie prístupových práv a vystavenie privilegovaných zdrojov.

Skenovanie aplikácií kvôli chybám zabezpečenia

Vykonajte hodnotenie rizika a zistite, či v aplikáciách a knižniciach nie sú nejaké bezpečnostné hrozby alebo slabé miesta. Zistenia použite na zlepšenie ochrany všetkých komponentov. V ideálnom prípade vytvorte pravidelné kontroly a naplánujte ich automatické spúšťanie denne alebo v akomkoľvek inom intervale v závislosti od citlivosti aplikácie a potenciálnych bezpečnostných hrozieb..

Ak je to možné, použite riešenie, ktoré sa dá integrovať s inými nástrojmi, ako je komunikačný softvér, alebo má zabudovanú funkciu, aby upozorňovalo príslušných ľudí vždy, keď zistí bezpečnostnú hrozbu alebo útok..

Otestujte a opravte bezpečnostné problémy v závislosti

Zvyčajne budú aplikácie závisieť od priamych aj nepriamych závislostí, ktoré sú väčšinou otvorené. Akékoľvek nedostatky v týchto komponentoch majú potenciál spôsobiť zraniteľné miesta v aplikácii, ak sa nevyriešia.

Dobrou praxou je analyzovať všetky interné a externé komponenty aplikácií, vykonávať penetračné testy API, kontrolovať siete tretích strán a ďalšie. Medzi účinné prostriedky na odstránenie zraniteľností patrí aktualizácia alebo nahradenie závislosti zabezpečenou verziou, záplatovaním atď.

Snyk Bolo by dobré vyskúšať si monitorovať bezpečnostné chyby v závislosti.

Vykonajte penetračné testovanie a modelovanie hrozieb

Penetračné testovanie pomáha identifikovať a riešiť bezpečnostné diery alebo zraniteľné miesta skôr, ako ich útočníci nájdu a využijú. Pretože testy penetrácie sú zvyčajne agresívne, môžu sa javiť ako útoky DDoS a je nevyhnutné koordinovať ich s ostatnými bezpečnostnými tímami, aby sa zabránilo vytváraniu falošných poplachov..

Modelovanie hrozieb zahŕňa simuláciu možných útokov, ktoré by vyplynuli z dôveryhodných hraníc. To pomáha overiť, či existujú nedostatky v dizajne, ktoré môžu útočníci zneužiť. Modelovanie vybavuje tímy IT spravodajstvom o hrozbách, ktoré môžu použiť na zvýšenie bezpečnosti a vývoj protiopatrení na riešenie akýchkoľvek identifikovaných slabých stránok alebo hrozieb..

Monitorujte aktivity & prístup k súborom

Monitorovanie privilegovaných účtov umožňuje bezpečnostným tímom zviditeľniť sa a porozumieť tomu, ako používatelia používajú platformu. Umožňuje bezpečnostným tímom určiť, či činnosti privilegovaných používateľov majú potenciálne bezpečnostné riziká alebo problémy s dodržiavaním predpisov.

Monitorujte a zaznamenávajte, čo používatelia robia so svojimi právami a činnosťami v súboroch. Hľadajú sa tu problémy, ako napríklad podozrivý prístup, úpravy, nezvyčajné stiahnutia alebo odovzdania atď. Monitorovanie aktivity súboru by malo tiež obsahovať zoznam všetkých používateľov, ktorí k súboru pristupovali v prípade, že je potrebné vyšetriť porušenie..

Správne riešenie by malo mať schopnosť identifikovať interné hrozby a vysoko rizikových používateľov hľadaním problémov, ako sú súčasné prihlásenie, podozrivé aktivity a veľa neúspešných pokusov o prihlásenie. Medzi ďalšie ukazovatele patrí prihlásenie sa v cudzích hodinách, podozrivé sťahovanie súborov alebo údajov alebo ich odovzdanie atď. Pokiaľ je to možné, automatické opatrenia na zmiernenie blokujú každú podozrivú aktivitu a varujú bezpečnostné tímy, aby prešetrili narušenie a riešili akékoľvek bezpečnostné chyby..

Zabezpečte údaje v pokoji a počas prepravy

Osvedčeným postupom je šifrovanie údajov počas ukladania a počas prepravy. Zabezpečenie komunikačných kanálov zabraňuje možným útokom typu človek v strede počas prenosu údajov cez internet.

Ak ešte nie, implementujte HTTPS povolením certifikátu TLS na šifrovanie a zabezpečenie komunikačného kanála a následne aj údajov v tranzite.

Vždy overte údaje

To zaisťuje, že vstupné údaje sú v správnom formáte, platné a bezpečné.

Všetky údaje, či už od interných používateľov alebo externých bezpečnostných a dôveryhodných tímov zabezpečenia zdrojov, musia s údajmi zaobchádzať ako s vysokorizikovými komponentmi. V ideálnom prípade vykonajte overenie na strane klienta a bezpečnostné kontroly pred odovzdaním údajov, aby ste zaistili, že prechádzajú iba čisté údaje, zatiaľ čo zablokujete ohrozené alebo vírusom napadnuté súbory..

Zabezpečenie kódu

Analyzujte kód zraniteľností počas životného cyklu vývoja. Toto začína od počiatočných fáz a vývojári by mali nasadiť aplikáciu do výroby až po potvrdení, že kód je bezpečný.

Vynútiť viacfaktorovú autentifikáciu

Povolenie viacfaktorovej autentifikácie pridá ďalšiu vrstvu ochrany, ktorá zvyšuje bezpečnosť a zaisťuje, že k aplikáciám, údajom a systémom majú prístup iba oprávnení používatelia. Môže to byť kombinácia hesla, OTP, SMS, mobilných aplikácií atď.

Presadzujte prísne zásady týkajúce sa hesiel

Väčšina ľudí používa slabé heslá, ktoré sa ľahko zapamätajú a ak ich nebudú nútené, nikdy ich nemôžu zmeniť. Toto je bezpečnostné riziko, ktoré môžu správcovia minimalizovať presadzovaním prísnych zásad týkajúcich sa hesla.

To by malo vyžadovať silné heslá, ktorých platnosť vyprší po stanovenom období. Ďalším súvisiacim bezpečnostným opatrením je zastavenie ukladania a odosielania poverení v čistom texte. V ideálnom prípade zašifrujte autentifikačné tokeny, poverenia a heslá.

Použite štandardnú autentifikáciu a autorizáciu

Najlepšou praxou je použitie štandardných, spoľahlivých a testovaných mechanizmov autentifikácie a autorizácie a protokolov, ako sú OAuth2 a Kerberos. Aj keď si môžete vytvoriť vlastné autentifikačné kódy, sú náchylné na chyby a zraniteľné miesta, a preto pravdepodobne vystavujú systémy útočníkom.

Kľúčové riadiace procesy

Používajte silné kryptografické kľúče a vyhýbajte sa krátkym alebo slabým kľúčom, ktoré môžu útočníci predvídať. Tiež používajte mechanizmy distribúcie bezpečných kľúčov, pravidelne otáčajte kľúčmi, vždy ich včas obnovujte, v prípade potreby ich odvolajte a zabráňte ich tvrdému kódovaniu do aplikácií..

Použitie automatického a pravidelného striedania kľúčov zvyšuje bezpečnosť a dodržiavanie predpisov a zároveň obmedzuje množstvo ohrozených šifrovaných údajov.

Spravujte prístup k aplikáciám a údajom

Vypracovať a presadzovať zvládnuteľnú a kontrolovateľnú bezpečnostnú politiku s prísnymi pravidlami prístupu. Najlepším prístupom je udeliť oprávneným zamestnancom a používateľom iba potrebné prístupové práva a nič viac.

Znamená to priradenie správnych úrovní prístupu iba k aplikáciám a údajom, ktoré potrebujú na plnenie svojich povinností. Malo by sa tiež pravidelne monitorovať, ako ľudia využívajú pridelené práva, a zrušiť tie, ktoré zneužívajú alebo nevyžadujú.

Prebiehajúca prevádzka

Je treba urobiť niekoľko vecí.

  • Vykonávanie nepretržitého testovania, pravidelnej údržby, opráv a aktualizácie aplikácií s cieľom identifikovať a opraviť nové bezpečnostné chyby a problémy s dodržiavaním predpisov.
  • Zriadenie mechanizmu auditu majetku, používateľov a oprávnení. Bezpečnostné tímy by ich potom mali pravidelne preskúmavať, aby okrem zrušenia prístupových práv, ktoré používatelia zneužívajú alebo nevyžadujú, okrem problémov so zrušením prístupových práv identifikovali a riešili akékoľvek problémy..
  • Vypracujte a nasaďte plán reakcie na incidenty, ktorý ukazuje, ako riešiť hrozby a zraniteľné miesta. Ideálne by mal plán zahŕňať technológie, procesy a ľudí.

Zhromažďujte a analyzujte protokoly automaticky

Protokoly aplikácií, API a systémov poskytujú veľa informácií. Nasadenie automatického nástroja na zhromažďovanie a analýzu protokolov poskytuje užitočné informácie o tom, čo sa deje. Protokolované služby, ktoré sú k dispozícii ako vstavané funkcie alebo doplnky tretích strán, sú najčastejšie skvelé pri overovaní súladu s bezpečnostnými politikami a inými predpismi, ako aj pri auditoch..

Použite analyzátor protokolov, ktorý je integrovaný do výstražného systému, podporuje zásobníky techník aplikácií a poskytuje prístrojovú dosku atď..

Uchovajte a skontrolujte revízny záznam

Najlepšie je uchovávať kontrolný záznam aktivít používateľov a vývojárov, ako sú úspešné a neúspešné pokusy o prihlásenie, zmeny hesla a ďalšie udalosti súvisiace s účtom. Automatická funkcia môže pomocou čítačov chrániť pred podozrivými a neistými činnosťami.

Audit trail môže byť prospešný pri vyšetrovaní porušenia alebo podozrenia na útok.

záver

Model PaaS odstraňuje zložitosť a náklady na nákup, správu a údržbu hardvéru a softvéru, ale nesie zodpovednosť za zabezpečenie účtov, aplikácií a údajov pre zákazníka alebo predplatiteľa. Vyžaduje si to bezpečnostný prístup zameraný na identitu, ktorý sa líši od stratégií, ktoré spoločnosti používajú v tradičných dátových centrách na mieste.

Medzi účinné opatrenia patrí budovanie bezpečnosti v aplikáciách, poskytovanie primeranej vnútornej a vonkajšej ochrany, ako aj monitorovanie a audit činností. Vyhodnotenie protokolov pomáha pri identifikácii slabých miest zabezpečenia a zlepšení príležitostí. V ideálnom prípade sa bezpečnostné tímy musia zamerať na riešenie akejkoľvek hrozby alebo zraniteľnosti skôr, ako ich útočníci uvidia a zneužijú.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map