Hvordan sikre plattformer som en tjeneste (PaaS) -miljøer?

Bruker du PaaS for applikasjonene dine, men er ikke sikker på hvordan du kan sikre dem?


En plattform-as-a-Service (PaaS) er en cloud computing-modell som gir en plattform der kundene kan utvikle, sikre, kjøre og administrere webapplikasjoner. Det gir et optimalisert miljø der team kan utvikle og distribuere applikasjoner uten å kjøpe og administrere den underliggende IT-infrastrukturen og tilhørende tjenester.

Generelt gir plattformen de nødvendige ressursene og infrastrukturen for å støtte hele livssyklusen for programvareutvikling og distribusjon, samtidig som utviklere og brukere får tilgang fra hvor som helst over internett. Fordelene med PaaS inkluderer, men ikke begrenset til, enkelhet, bekvemmelighet, lavere kostnader, fleksibilitet og skalerbarhet.

Vanligvis er det å sikre en PaaS forskjellig fra det tradisjonelle datasenteret som vi kommer til å se.

Et PaaS-miljø er avhengig av a delt sikkerhetsmodell. Tilbyderen sikrer infrastrukturen mens PaaS-kundene har ansvaret for å beskytte sine kontoer, apper og data som er vert på plattformen. Ideelt sett skifter sikkerheten fra stedet til sikkerhetsmodellen for identitetsomkrets.

Dette betyr at PaaS-kunden må fokusere mer på identiteten som den primære sikkerhetsomkretsen. Problemer å fokusere på inkluderer beskyttelse, testing, kode, data og konfigurasjoner, ansatte, brukere, autentisering, drift, overvåking og logger..

Det er mye å gjøre. Er det ikke?

Ikke bekymre deg; la meg guide deg steg for steg.

Beskytt applikasjoner mot vanlige og uventede angrep

En av de beste tilnærmingene er å distribuere en sanntids automatisk beskyttelsesløsning med muligheten til å raskt og automatisk oppdage og blokkere ethvert angrep. PaaS-abonnentene kan bruke sikkerhetsverktøyene som leveres på plattformen eller se etter tredjepartsalternativer som imøtekommer deres krav.

Et ideelt verktøy skal gi sanntidsbeskyttelse samtidig som det automatisk oppdager og blokkerer uautorisert tilgang, angrep eller brudd.

Kilde: comodo.com

Den skal ha muligheten til å sjekke for uvanlige aktiviteter, ondsinnede brukere, mistenkelige pålogginger, dårlige roboter, kontoovertak og annen anomali som kan føre til et kompromiss. I tillegg til å bruke verktøy, er det behov for å bygge sikkerhet inn i applikasjonen slik at den har sin beskyttelse.

Beskytt brukerkontoer og appressurser

Hvert samhandlingspunkt er vanligvis en potensiell angrepsflate. Den beste måten å forhindre angrep er å redusere eller begrense eksponeringen for applikasjonssårbarheter og ressurser som ikke-tillitsfulle brukere kan få tilgang til. Det er også viktig å regelmessig og automatisk lappe og oppdatere sikkerhetssystemene for å redusere svakhetene.

Selv om tjenesteleverandøren sikrer plattformen, har kunden et mer betydelig ansvar for å beskytte kontoen og applikasjonene. Dette betyr at bruk av et sett med sikkerhetsstrategier som en kombinasjon av innebygde plattforms sikkerhetsfunksjoner, tilleggsprogrammer og tredjepartsverktøy, forbedrer beskyttelsen av kontoer, apper og data. Dessuten sikrer det at bare autoriserte brukere eller ansatte kan få tilgang til systemet.

Et annet tiltak er å holde antallet ansatte med administratorrettigheter til et minimum mens det etableres en revisjonsmekanisme for å identifisere risikofylte aktiviteter av interne team og autoriserte eksterne brukere.

Administratorer bør også håndheve minst mulig brukerrettigheter. Med denne tilnærmingen skal brukere bare ha minst privilegier som gjør at de kan kjøre applikasjoner eller utføre andre roller på riktig måte. Dette reduserer angrepsoverflaten, misbruk av tilgangsrettighetene og eksponeringen av privilegerte ressurser.

Skann applikasjon for sikkerhetsproblemer

Utfør en risikovurdering for å identifisere om det er noen sikkerhetstrusler eller sårbarheter i appene og bibliotekene. Bruk funnene for å forbedre beskyttelsen av alle komponentene. Det er ideelt å etablere en jevnlig skanning og planlegge at den skal kjøres automatisk hver dag eller et hvilket som helst annet intervall, avhengig av appens følsomhet og potensielle sikkerhetstrusler.

Hvis mulig, bruk en løsning som kan integreres med andre verktøy som kommunikasjonsprogramvare eller har en innebygd funksjon for å varsle relevante personer når den identifiserer en sikkerhetstrussel eller angrep.

Test og fikser sikkerhetsproblemer i avhengighet

Vanligvis vil apper avhenge av både direkte og indirekte avhengigheter, som stort sett er åpen kildekode. Eventuelle feil i disse komponentene kan potensielt introdusere sikkerhetssårbarheter i appen hvis den ikke blir adressert.

En god praksis er å analysere alle de interne og eksterne komponentene i appene, utføre API-penetrasjonstester, sjekke tredjepartsnettverk og mer. Noen av de effektive måtene å fikse sårbarhetene inkluderer å oppgradere eller erstatte avhengigheten med en sikker versjon, lapping osv.

Snyk vil det være verdt å prøve å overvåke sikkerhetsfeil i avhengighetene.

Utfør penetrasjonstesting og trusselmodellering

Penetrasjonstesting hjelper til med å identifisere og adressere sikkerhetshull eller sårbarheter før angriperne kan finne og utnytte dem. Fordi penetrasjonstester vanligvis er aggressive, kan de vises som DDoS-angrep, og det er viktig å koordinere med andre sikkerhetsteam for å unngå å lage falske alarmer.

Trusselmodellering innebærer å simulere mulige angrep som vil komme fra pålitelige grenser. Dette hjelper til med å bekrefte om det er designfeil som angripere kan utnytte. Modelleringen utstyrer IT-teamene med trusselintelligens, som de kan bruke for å forbedre sikkerheten og utvikle mottiltak for å løse enhver identifisert svakhet eller trussel.

Overvåke aktiviteter & filtilgang

Når du overvåker de privilegerte kontoene, kan sikkerhetsteamene få synlighet og forstå hvordan brukerne bruker plattformen. Det gjør det mulig for sikkerhetsgruppene å avgjøre om aktivitetene fra privilegerte brukere har potensielle sikkerhetsrisikoer eller overholdelsesproblemer.

Overvåk og logg hva brukerne gjør med sine rettigheter, så vel som aktiviteter på filene. Dette ser etter problemer som mistenkelig tilgang, endringer, uvanlige nedlastinger eller opplastinger, etc. En overvåkning av filaktiviteter bør også gi en liste over alle brukerne som har tilgang til en fil i tilfelle det er behov for å undersøke et brudd.

En riktig løsning skal ha muligheten til å identifisere interne trusler og brukere med høy risiko ved å lete etter problemer som samtidige pålogginger, mistenkelige aktiviteter og mange mislykkede påloggingsforsøk. Andre indikatorer inkluderer innlogging på rare tider, mistenkelige nedlastinger av filer og data, eller opplastinger osv. Når det er mulig, vil automatiske avbøtende tiltak blokkere all mistenkelig aktivitet og varsle sikkerhetsteamene om å undersøke bruddet, samt adressere eventuelle sikkerhetsproblemer.

Sikre data i ro og under transport

Den beste fremgangsmåten er å kryptere dataene under lagring og når de er i transitt. Å sikre kommunikasjonskanalene forhindrer mulige angrep på midten mens dataene reiser over Internett.

Hvis ikke allerede, implementer HTTPS ved å aktivere TLS-sertifikatet for å kryptere og sikre kommunikasjonskanalen og følgelig dataene i transitt.

Valider alltid data

Dette sikrer at inngangsdataene er i riktig format, gyldige og sikre.

Alle data, enten det er fra interne brukere eller eksterne pålitelige og upålitelige sikkerhetsgrupper, må behandle data som høyrisikokomponenter. Ideelt sett skal du utføre validering på klientsiden og sikkerhetskontroller før dataopplasting vil sikre at bare rene data passerer mens du blokkerer kompromitterte eller virusinfiserte filer..

Kodesikkerhet

Analyser koden for sårbarheter under utviklingslivssyklusen. Dette starter fra de første stadiene, og utviklere bør bare distribuere applikasjonen til produksjonen etter å ha bekreftet at koden er sikker.

Håndhev multifaktorautentisering

Aktivering av en flerfaktorautentisering gir et ekstra beskyttelseslag som forbedrer sikkerheten og sikrer at bare autoriserte brukere har tilgang til appene, dataene og systemene. Dette kan være en kombinasjon av passord, OTP, SMS, mobilapper osv.

Håndhev en sterk passordpolicy

De fleste bruker svake passord som er enkle å huske og kan aldri endre dem med mindre de blir tvunget. Dette er en sikkerhetsrisiko som administratorer kan minimere ved å håndheve sterke passordpolicyer.

Dette bør kreve sterke passord som utløper etter en angitt periode. Et annet relatert sikkerhetstiltak er å slutte å lagre og sende legitimasjon. Helst, krypter autentiseringsmerken, legitimasjon og passord.

Bruk standard autentisering og autorisasjon

Den beste praksisen er å bruke standard, pålitelige og testede autentiserings- og autorisasjonsmekanismer og protokoller som OAuth2 og Kerberos. Selv om du kan utvikle egendefinerte autentiseringskoder, er disse utsatt for feil og sårbarheter, og vil derfor sannsynligvis utsette systemer for angripere.

Sentrale styringsprosesser

Bruk sterke kryptografiske nøkler og unngå korte eller svake taster som angripere kan forutsi. Bruk også sikre distribusjonsmekanismer for nøkkel, roter tastene regelmessig, fornyer dem alltid i tide, opphev dem når det er nødvendig, og unngå å hardkode dem i applikasjonene.

Å bruke en automatisk og vanlig nøkkelrotasjon forbedrer sikkerheten og overholdelsen mens du begrenser mengden kryptert data som er i fare.

Administrer tilgang til apper og data

Utvikle og håndheve en håndterbar og reviderbar sikkerhetspolicy med strenge tilgangsregler. Den beste tilnærmingen er å gi autoriserte ansatte og brukere bare de nødvendige tilgangsrettighetene og ikke mer.

Dette betyr å tildele riktig tilgangsnivå til bare appene og dataene de trenger for å utføre sine oppgaver. Det bør også være regelmessig overvåking av hvordan folk bruker de tildelte rettighetene og opphever dem de enten misbruker eller ikke krever.

Pågående operasjon

Det er flere ting å gjøre.

  • Gjennomfører kontinuerlig testing, regelmessig vedlikehold, oppdatering og oppdatering av appene for å identifisere og løse nye sikkerhetsproblemer og overholdelsesproblemer.
  • Etablere en revisjonsmekanisme for eiendeler, brukere og privilegier. Sikkerhetsteamene bør deretter gjennomgå disse regelmessig for å identifisere og løse eventuelle problemer i tillegg til å avslå tilgangsrettigheter som brukere misbruker eller ikke krever.
  • Utvikle og distribuere en hendelsesplan som viser hvordan du takler trusler og sårbarheter. Ideelt sett bør planen omfatte teknologier, prosesser og mennesker.

Samle og analyser logger automatisk

Applikasjonene, APIene og systemloggene gir mye informasjon. Å distribuere et automatisk verktøy for å samle og analysere loggene gir nyttig innsikt i hva som skjer. Oftest er loggingstjenestene, som er tilgjengelige som enten innebygde funksjoner eller tredjeparts tillegg, gode for å verifisere overholdelse av sikkerhetspolicyer og andre forskrifter, så vel som for revisjoner..

Bruk en logganalysator som integreres med varslingssystemet, støtter applikasjonens tekniske stabler og gir et dashbord, osv..

Hold og gjennomgå en revisjonsspor

Det er best å lagre et revisjonsspor av bruker- og utvikleraktiviteter som vellykkede og mislykkede påloggingsforsøk, passordendringer og andre kontorelaterte hendelser. En automatisk funksjon kan bruke skranker for å beskytte mot mistenkelige og usikre aktiviteter.

Tilsynssporet kan være fordelaktig å undersøke når det er brudd eller mistenker et angrep.

Konklusjon

En PaaS-modell fjerner kompleksiteten og kostnadene ved å kjøpe, administrere og vedlikeholde maskinvare og programvare, men legger ansvaret for å sikre kontoer, apper og data til kunden eller abonnenten. Dette krever en identitetssentrert sikkerhetstilnærming som skiller seg fra strategiene som bedriftene bruker i tradisjonelle datasentre på stedet.

Effektive tiltak inkluderer å bygge sikkerhet inn i appene, gi tilstrekkelig intern og ekstern beskyttelse samt overvåking og revisjon av aktivitetene. Evaluering av loggene hjelper deg med å identifisere sikkerhetssårbarheter samt forbedringsmuligheter. Ideelt sett må sikkerhetsteamene ta sikte på å adressere enhver trussel eller sårbarhet tidlig før angriperne ser og utnytter dem.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map