亚博网赌安全有保障机械设备有限公司欢迎您!

五步应对云计算PaaS安全性挑战|亚博网赌安全有保障

时间:2021-06-05
本文摘要:谈到安全和云计算模式,平台即服务(PaaS)也有类似的挑战。与其他云计算模式不同,如果不能大量投资,大多数公司往往需要被PaaS安全性拒绝的应用安全专业知识。这个问题很简单,因为许多公司使用常驻的基础设施级安全控制策略作为对应用级安全风险的响应(例如,一旦它被应用于程序代码的发布和生产,它就被用在WAF中,以减轻跨站点脚本或其他发现的前端问题)。 由于对平台即服务中的底层基础设施缺乏控制,这种策略在平台即服务的部署和应用中是不切实际的。

亚博网赌安全有保障

谈到安全和云计算模式,平台即服务(PaaS)也有类似的挑战。与其他云计算模式不同,如果不能大量投资,大多数公司往往需要被PaaS安全性拒绝的应用安全专业知识。这个问题很简单,因为许多公司使用常驻的基础设施级安全控制策略作为对应用级安全风险的响应(例如,一旦它被应用于程序代码的发布和生产,它就被用在WAF中,以减轻跨站点脚本或其他发现的前端问题)。

由于对平台即服务中的底层基础设施缺乏控制,这种策略在平台即服务的部署和应用中是不切实际的。考虑到PaaS和控制所涉及的灵活性,您必须对底层计算环境具有一定的控制能力。

与IaaS一样,PaaS具有几乎无限的设计灵活性:您可以构建任何基于社交网站的应用程序来构建内部网站点或CRM应用程序。然而,与IaaS不同,应用程序下的堆栈不是半透明的,这意味着针对应用程序的组件和基础架构(根据设计)是一个黑盒。也就是说,类似于SaaS,安全控制必须内置于应用程序本身;然而,与SaaS不同,在那里服务提供商通常对所有客户应用应用级安全控制,在IaaS中,安全控制措施是针对您的应用的。这意味着您有必要负责确认这些控制措施是适当的,并继续明确地实施它们。

这里一个很简单的图指出了模型和客户的区别:应用于程序设计的灵活性,功能的控制比底层更透明。对于那些在应用程序安全性方面投入巨资的组织来说,他们享有同样的经过全面培训的开发人员和独立国家的R&D测试和生产流程,因此他们应该熟悉平台即服务的安全性问题。

然而,那些没有进行这些投资的机构可以遵循以下步骤,这将在一定程度上有助于应对PaaS安全性的挑战。步骤1:创建安全措施应用程序安全的明显挑战在PaaS实现之前并不存在。

因此,关于如何完成安全、健壮的应用部署措施的研究很多。一种可以获得必要异议的技术叫做应用程序威胁建模。

一些好点是OWASP威胁建模页面和微软的安全R&D生命周期资源页面。从工具的角度来看,是免费的跨站点脚本(XSS)和SQL流。有内部工具的企业可以将其应用到PaaS的安全措施中,或者很多PaaS供应商已经为客户的邮购或折扣价获得了功能类似的工具。当企业希望将其用于更一般的扫描策略时,他们也可以将其用于免费工具,如谷歌的skipfish。

第二步:扫描网络应用很多公司已经拒绝了应用扫描,应用扫描是一种用于解决标准化安全问题的网络应用扫描工具(比如跨平台脚本(XSS)和SQL介绍)。有内部工具的企业可以将其应用到PaaS安全措施中,或者许多PaaS供应商已经获得了类似于客户邮购或折扣价功能的工具。当企业希望将其用于更一般的扫描策略时,他们也可以将其用于免费工具,如谷歌的skipfish。第三步:培训开发人员对于应用程序开发人员来说,几乎完全了解应用程序安全的原理是非常重要的。

这还可以包括语言级别的培训(即,它们当前用于构建应用程序所用语言的安全编码原则)和更一般的主题,如安全设计原则。由于开发人员的流失和流动性,往往会拒绝培训必须定期重复和正常维护,所以开发人员应用的安全培训成本可能会更低。

好在有一些免费的资源,比如德州Sam/FEMA国内校园围堵计划,获得了一些免费的安全软件开发的电子自学资料。微软还通过其Clinic2806:微软开发人员安全培训获得了免费培训,这是一个简单的入门级培训材料,用于启动您自己的自定义程序。第四步:享受特殊测试数据。这种情况总是再次发生:开发人员用它来测试生产数据。

这是一个必须正确认识的问题,因为机密数据(如客户的私人身份数据)可能会在测试过程中泄露,尤其是在R&D或试运行环境中没有继续采用与生产环境中相同的安全措施时。PaaS对环境更敏感,很多PaaS服务更容易构建部署、试运行和生产间数据库共享来修改部署。开源的DatabeneBenerator之类的工具可以根据你的数据库的具体结构产生大容量的数据,数据格式的调整有助于享受特殊的生产数据。

总的来说,这些治疗都属于一个特定的框架,所以你必须注意找到一个需要在你的特定环境下长期工作的框架。第五步:新的优先级调整这最后一步是你能迈出的最重要的一步。既然PaaS可能意味着文化和优先级的调整,那么拒绝这种调整,将其归入自己的意识形态不道德体系是合适的。

用于PaaS,全部与应用相关;这意味着组织的安全性将高度依赖于组织中的R&D团队。如果这不是一个PaaS问题,它就不会是一个噩梦,因为您不能在基础架构级别做很多事情来减轻已识别的风险。如果您仍然依赖基础架构级别的控制来应对应用程序级别的安全挑战,那么是时候重新考虑了。


本文关键词:五步,应对,云计算,PaaS,安全性,亚博网赌安全有保障,挑战,亚博,网赌

本文来源:亚博网赌安全有保障-www.property-launches.com