Kuidas turvada platvormi kui teenuse (PaaS) keskkondi?

Kas kasutate oma rakenduste jaoks PaaS-i, kuid pole kindel, kuidas neid kaitsta?


Platvorm teenusena (PaaS) on pilvandmetöötluse mudel, mis pakub platvormi, kus kliendid saavad veebirakendusi arendada, turvata, käitada ja hallata. See pakub optimeeritud keskkonda, kus meeskonnad saavad rakendusi arendada ja juurutada, ilma et osta ja hallata selle aluseks olevat IT-infrastruktuuri ja sellega seotud teenuseid.

Üldiselt pakub platvorm vajalikke ressursse ja infrastruktuuri, et toetada tarkvara arendamise ja juurutamise täielikku elutsüklit, võimaldades samal ajal arendajatele ja kasutajatele juurdepääsu kõikjale Interneti kaudu. PaaS-i eelised hõlmavad, kuid mitte ainult, lihtsust, mugavust, madalamaid kulusid, paindlikkust ja mastaapsust.

Tavaliselt erineb PaaS-i turvamine tavapärasest kohapealsest andmekeskusest, nagu näeme.

PaaS-i keskkond tugineb a jagatud turvamudel. Pakkuja kindlustab taristu, samal ajal kui PaaS-i klientidel on kohustus kaitsta oma kontosid, rakendusi ja platvormis hostitavaid andmeid. Ideaalis nihkub turvalisus eelduselt identiteedi perimeetri turvamudelile.

See tähendab, et PaaS-i klient peab keskenduma rohkem identiteedile kui peamisele turvapiirkonnale. Teemad, millele keskenduda, hõlmavad kaitset, testimist, koodi, andmeid ja konfiguratsioone, töötajaid, kasutajaid, autentimist, toiminguid, jälgimist ja logisid.

Seda on palju teha. Kas pole??

Ärge muretsege; las ma juhendan teid samm-sammult.

Kaitske rakendusi tavaliste ja ootamatute rünnakute eest

Üks parimaid lähenemisviise on juurutada reaalajas automaatne kaitselahendus, mis võimaldab kiiresti ja automaatselt rünnakuid tuvastada ja blokeerida. PaaS-i abonendid saavad kasutada platvormil pakutavaid turbevahendeid või otsida kolmandate osapoolte võimalusi, mis vastavad nende nõudmistele.

Ideaalne tööriist peaks tagama reaalajas kaitse, samal ajal tuvastades ja blokeerides volitamata juurdepääsu, rünnakud või rikkumised.

Allikas: comodo.com

Sellel peaks olema võimalus kontrollida ebaharilike tegevuste, pahatahtlike kasutajate, kahtlaste sisselogimiste, halbade robotite, konto ülevõtmiste ja muude anomaaliate olemasolu, mis võivad põhjustada kompromissi. Lisaks tööriistade kasutamisele on vaja rakendusesse sisse seada ka turvalisus, et see kaitseks.

Kaitske kasutajakontosid ja rakenduste ressursse

Iga koostoime punkt on tavaliselt potentsiaalne rünnaku pind. Parim viis rünnakute ärahoidmiseks on vähendada või piirata rakenduste turvaaukude ja ressursside kaitset, millele umbusaldusväärsetel kasutajatel on juurdepääs. Nõrkuste vähendamiseks on oluline ka turvasüsteemide korrapärane ja automaatne lappimine ja värskendamine.

Ehkki teenusepakkuja turvab platvormi, on kliendil suurem vastutus konto ja rakenduste kaitsmise eest. See tähendab turbestrateegiate, näiteks sisseehitatud platvormi turvafunktsioonide, lisandmoodulite ja muude tootjate tööriistade kombinatsiooni kasutamist, parandab kontode, rakenduste ja andmete kaitset. Samuti tagab see, et süsteemile pääsevad juurde vaid volitatud kasutajad või töötajad.

Teine meede on hoida administraatoriõigustega töötajate arv minimaalsena, luues auditi mehhanismi, et tuvastada sisemiste meeskondade ja volitatud väliskasutajate riskantne tegevus.

Administraatorid peaksid rakendama ka kõige vähem kasutajaõigusi. Selle lähenemisviisi korral peaks kasutajatel olema ainult kõige vähem õigusi, mis võimaldavad neil rakendusi käitada või muid rolle õigesti täita. See vähendab rünnaku pinda, juurdepääsuõiguste kuritarvitamist ja privilegeeritud ressursside eksponeerimist.

Kontrollige rakendust turvaaukude osas

Viige läbi riskihindamine, et teha kindlaks, kas rakendustes ja selle raamatukogudes on turvariske või turvaauke. Kasutage leide kõigi komponentide kaitse parandamiseks. Ideaalis looge regulaarne skannimine ja ajastage see nii, et see toimuks iga päev automaatselt või muu intervalliga, sõltuvalt rakenduse tundlikkusest ja võimalikest turvariskidest..

Võimalusel kasutage lahendust, mis on integreeritav teiste tööriistadega, näiteks kommunikatsioonitarkvaraga, või millel on sisseehitatud funktsioon, et hoiatada asjakohaseid inimesi, kui nad tuvastavad turvaohu või rünnaku.

Testige ja parandage sõltuvuste turvaprobleeme

Tavaliselt sõltuvad rakendused nii otsestest kui ka kaudsetest sõltuvustest, mis on enamasti avatud lähtekoodiga. Nende komponentide kõik puudused võivad rakenduses turvaaukude sisse tuua, kui nendega ei tegeleta.

Hea tava on analüüsida rakenduste kõiki sisemisi ja väliseid komponente, teha API-de läbitungimise teste, kontrollida kolmandate osapoolte võrke ja palju muud. Mõned tõhusad viisid haavatavuste parandamiseks hõlmavad sõltuvuse uuendamist või asendamist turvalise versiooniga, paigaldust jne..

Snyk tasuks proovida jälgida sõltuvuste turvavigu.

Viige läbi läbitungimise testimine ja ohu modelleerimine

Läbivuse testimine aitab tuvastada turvaauke või haavatavusi ja neid ennetada, enne kui ründajad neid leiavad ja kasutavad. Kuna sissetungimistestid on tavaliselt agressiivsed, võivad need ilmuda DDoS-rünnakutena ja valehäirete tekitamise vältimiseks on oluline kooskõlastada teiste turvameeskondadega..

Ohu modelleerimine hõlmab võimalike rünnakute simuleerimist, mis tulenevad usaldusväärsetest piiridest. See aitab kontrollida, kas leidub konstruktsioonivigu, mida ründajad saavad ära kasutada. Mudelite abil varustatakse IT-meeskonnad ohuandmetega, mida nad saavad kasutada turvalisuse suurendamiseks ja vastumeetmete väljatöötamiseks tuvastatud nõrkuse või ohu kõrvaldamiseks.

Jälgige tegevusi & failidele juurdepääs

Privileeritud kontode jälgimine võimaldab turbemeeskondadel saada nähtavust ja mõista, kuidas kasutajad platvormi kasutavad. See võimaldab turbemeeskondadel kindlaks teha, kas privilegeeritud kasutajate tegevusega kaasnevad potentsiaalsed turvariskid või nõuetele vastavuse probleemid.

Jälgige ja logige, mida kasutajad teevad oma õiguste ja failidega seotud tegevuste osas. See otsib selliseid küsimusi nagu kahtlane juurdepääs, muudatused, ebaharilikud allalaadimised või üleslaadimised jne. Faili aktiivsuse jälgimine peaks sisaldama ka kõigi failidele juurdepääsu saanud kasutajate loendit juhuks, kui rikkumist on vaja uurida.

Õige lahendus peaks suutma tuvastada sisemised ohud ja kõrge riskiga kasutajad, otsides selliseid probleeme nagu samaaegne sisselogimine, kahtlased tegevused ja paljud ebaõnnestunud sisselogimiskatsed. Muud näitajad hõlmavad sisselogimist kummalistel kellaaegadel, kahtlaste failide ja andmete allalaadimist või üleslaadimist jne. Võimaluse korral blokeerivad automaatsed leevendusmeetmed igasuguse kahtlase tegevuse ja hoiatavad turbemeeskondi rikkumise uurimisel ja turvaaukude kõrvaldamisel..

Turvalised andmed puhkehetkel ja transiidi ajal

Parim tava on andmete krüptimine säilitamise ajal ja transiidi ajal. Sidekanalite turvalisus väldib võimalikke keskrünnakuid, kuna andmed liiguvad Interneti kaudu.

Kui mitte, siis rakendage HTTPS, lubades TLS-i sertifikaadil krüpteerida ja turvata sidekanali ja sellest tulenevalt edastatavad andmed.

Kinnitage andmeid alati

See tagab sisendandmete õige vormingu, korrektsuse ja turvalisuse.

Kõiki andmeid, olgu need siis sisemised kasutajad või väliste usaldusväärsete ja mitteusaldusväärsete allikate turbemeeskonnad, tuleb käsitleda andmeid kõrge riskiga komponentidena. Ideaalis kontrollige enne andmete üleslaadimist kliendipoolsel ja turvakontrollil, et ohustatud või viirusega nakatunud failide blokeerimise kaudu läbiksid ainult puhtad andmed.

Koodi turvalisus

Analüüsige arenduse olelusringi haavatavuste koodi. See algab algfaasidest ja arendajad peaksid rakenduse tootmisesse kasutusele võtma alles pärast koodi kinnituse kinnitamist.

Kehtestage mitmefaktoriline autentimine

Mitmefaktorilise autentimise lubamine lisab täiendava kaitsekihi, mis parandab turvalisust ja tagab, et rakendustele, andmetele ja süsteemidele pääseb juurde vaid volitatud kasutajatel. See võib olla parooli, OTP, SMSi, mobiilirakenduste jms kombinatsioon.

Jõustage range paroolipoliitika

Enamik inimesi kasutab nõrku paroole, mida on lihtne meelde jätta, ja ei pruugi neid kunagi muuta, kui nad pole sunnitud. See on turvarisk, mida administraatorid saavad rangete paroolipoliitika jõustamisega minimeerida.

See peaks nõudma tugevaid paroole, mis aeguvad pärast määratud perioodi lõppu. Teine seotud turvameede on lihtteksti mandaatide salvestamise ja saatmise peatamine. Ideaalis krüpteerige autentimisload, mandaadid ja paroolid.

Kasutage standardset autentimist ja autoriseerimist

Parim tava on kasutada standardseid, usaldusväärseid ja testitud autentimis- ja autoriseerimismehhanisme ning protokolle nagu OAuth2 ja Kerberos. Ehkki saate välja töötada kohandatud autentimiskoode, on need altid vigadele ja turvaaukudele, paljastades seetõttu süsteemid ründajate jaoks.

Võtmehaldusprotsessid

Kasutage tugevaid krüptoklahve ja vältige lühikesi või nõrku klahve, mida ründajad oskavad ette näha. Kasutage ka turvalisi võtme levitamismehhanisme, pöörake võtmeid regulaarselt, uuendage neid alati õigeaegselt, vajadusel tühistage ja vältige nende rakendustesse kodeerimist..

Automaatse ja regulaarse võtme pööramise kasutamine parandab turvalisust ja vastavust, piirates samas krüptitud andmete hulka.

Hallake juurdepääsu rakendustele ja andmetele

Töötage välja ja jõustage rangete juurdepääsureeglitega juhitavat ja kontrollitavat turbepoliitikat. Parim viis on anda volitatud töötajatele ja kasutajatele ainult vajalikud juurdepääsuõigused ja mitte rohkem.

See tähendab, et õigetele juurdepääsu tasemetele määratakse ainult rakendused ja andmed, mida nad oma tööülesannete täitmiseks vajavad. Samuti tuleks regulaarselt jälgida, kuidas inimesed kasutavad määratud õigusi, ja tühistada õigusi, mida nad kas kasutavad või ei vaja.

Käimasolev operatsioon

Vaja on teha mitmeid asju.

  • Rakenduste pideva testimise, regulaarse hoolduse, lappimise ja värskendamise kaudu tekkivate turvaaukude ja nõuetele vastavuse probleemide tuvastamiseks ja parandamiseks.
  • Varade, kasutajate ja privileegide auditeerimismehhanismi loomine Turvameeskonnad peaksid need regulaarselt üle vaatama, et tuvastada ja lahendada probleemid lisaks kasutajaõiguse tühistamisele, mida kasutajad kuritarvitavad või ei vaja.
  • Töötage välja ja juurutage vahejuhtumitele reageerimise kava, mis näitab, kuidas ohtudega ja haavatavustega toime tulla. Ideaalis peaks plaan sisaldama tehnoloogiaid, protsesse ja inimesi.

Logide kogumine ja analüüsimine automaatselt

Rakendused, API-d ja süsteemilogid pakuvad palju teavet. Logide kogumiseks ja analüüsimiseks automaatse tööriista juurutamine annab toimuva kohta kasulikku teavet. Enamasti on logiteenused, mis on saadaval kas sisseehitatud funktsioonide või muude tootjate lisandmoodulitena, suurepärased turvapoliitikate ja muude määruste järgimise kontrollimisel ning auditite jaoks.

Kasutage logianalüsaatorit, mis integreerub hoiatussüsteemiga, toetab teie rakendustehnoloogia virna ja pakub armatuurlauda jne..

Hoidke ja jälgige kontrolljälge

Parim tava on salvestada kontrolljälg kasutaja ja arendaja tegevuste kohta, näiteks õnnestunud ja ebaõnnestunud sisselogimiskatsed, parooli muutused ja muud kontoga seotud sündmused. Automaatfunktsioon võib loendureid kasutada kahtlaste ja ebakindlate tegevuste eest kaitsmiseks.

Kontrolljälg võib olla kasulik rikkumise uurimisel või rünnaku kahtlusel.

Järeldus

PaaS-i mudel eemaldab riist- ja tarkvara ostmise, haldamise ja hooldamise keerukuse ja kulud, kuid paneb vastutuse kontode, rakenduste ja andmete turvamise eest kliendile või abonendile. See nõuab identiteedikeskset turbekäsitlust, mis erineb strateegiatest, mida ettevõtted kasutavad traditsioonilistes eelduslikes andmekeskustes.

Tõhusate meetmete hulka kuulub rakenduste turvalisuse suurendamine, piisava sisemise ja välise kaitse tagamine ning tegevuste jälgimine ja auditeerimine. Logide hindamine aitab tuvastada turvaauke ja parendusvõimalusi. Ideaalis peaksid turvameeskonnad püüdma kõigi ohtude või haavatavusega tegeleda varakult, enne kui ründajad neid näevad ja ära kasutavad.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map