资讯专栏INFORMATION COLUMN

五步应对云计算PaaS安全性挑战

luoyibu / 3556人阅读

摘要:而那些还未作出这些投资的机构可以遵循如下步骤,从而在一定程度上有助于应对安全性的挑战。步骤一建立安全措施应用程序安全性的根本挑战远在实施前就已经存在。一些很好的着力点是威胁建模页以及微软公司的安全性开发生命周期资源页。

当谈及安全性和云计算模型时,平台即服务(PaaS)有着它自己特殊的挑战。与其他的云计算模型不同,PaaS安全性所要求的应用程序安全性专业知识往往是大多数公司无法投入巨资就能够拥有的。这个问题很复杂,因为众多公司都使用“进驻式”基础设施级安全控制战略作为应用程序级安全性风险的应对措施(例如,一旦应用程序代码发布生产,使用WAF以缓解所发现的跨网站脚本程序或其他前端问题)。由于缺乏对PaaS中底层基础设施的控制,这一战略在PaaS部署应用中变得不具实际操作性。

考虑到PaaS与控制相关的灵活性,你必须对底层计算环境具有一定的控制能力。如同IaaS一样,PaaS提供了近乎无限的设计灵活性:你可以基于社交网站构建任何应用,以实现内联网网站或CRM应用程序。但是,与IaaS不同的是,应用程序下的“堆栈”是不透明的,这就意味着支持应用程序的组件和基础设施都是(根据设计)一个“黑盒”。也就是说,与SaaS类似,安全性控制必须内置于应用程序本身中;但与SaaS中服务供应商通常实施应用于所有客户的应用程序级安全控制不同的是,在IaaS中安全控制措施是针对你的应用程序的。这就意味着必须由你自己承担责任以确定那些控制措施是合适的并执行具体的实施。

对于那些在应用程序安全方面已投入巨资的组织来说,他们拥有固定满编训练有素的开发人员,独立的开发、测试以及生产流程,所以应对PaaS安全性问题应该是驾轻就熟的。而那些还未作出这些投资的机构可以遵循如下步骤,从而在一定程度上有助于应对PaaS安全性的挑战。

步骤一:建立安全措施

应用程序安全性的根本挑战远在PaaS实施前就已经存在。因此,对于如何完善生产安全、鲁棒的应用程序的部署措施已有相当的研究。有一个可提供直接支持的技术被称为应用程序威胁建模。一些很好的着力点是OWASP威胁建模页以及微软公司的安全性开发生命周期资源页。从工具的角度来看,是免费跨网站脚本(XSS)和SQL注入。拥有内部工具的企业可以将其应用于PaaS的安全性措施,或者众多PaaS供应商为客户以免费或打折的价格提供了具有类似功能的工具。而当企业希望使用一个更为广泛的扫描策略时,他们还可以使用诸如Google公司的skipfish这样的免费工具。

步骤二:扫描网络应用程序

众多公司已经接受了应用程序扫描,这是一个用于解决通用安全问题(例如跨平台脚本(XSS)和SQL导入)的网络应用程序扫描工具。拥有内部工具的企业可以将其应用于PaaS安全性措施,或者众多PaaS供应商为客户以免费或打折的价格提供了类似功能的工具。而当企业希望使用一个更为广泛的扫描策略时,他们还可以使用诸如Google公司的skipfish这样的免费工具。

步骤三:培训开发人员

应用程序开发人员完全通盘精通应用程序安全性原则是非常关键的。这可以包括语言级培训(即他们目前用于构建应用程序所使用语言中的安全编码原则)以及更广泛的议题,如安全性设计原则等。由于开发人员的减员和流动性等原因,这往往要求培训必须定期重复并作为常态保持下去,所以开发人员应用程序的安全性培训成本可能是较为昂贵的。幸运的是,还有一些免费的资源,例如Texas A&M/FEMA国内防备校园计划提供了一些安全性软件开发的免费电子学习资料。微软公司也通过其Clinic 2806提供了免费培训:微软开发人员安全性知道培训,这是一个开始你自己定制程序有用的入门级培训材料。

步骤四:拥有专用的测试数据

这样的情况总是在不断发生中的:开发人员使用生产数据进行测试。这是一个需要正确认识的问题,因为机密数据(例如客户私人可辨识的数据)可能在测试过程中泄漏,特别是在开发或试运行环境中并没有执行与生产环境相同的安全措施时。PaaS的环境敏感性更甚,而众多PaaS服务更易于实现部署、试运行以及生产之间的数据库共享以简化部署。如开源Databene Benerator之类的工具可以产生符合你数据库特定结构的高容量数据,而数据格式调整有助于拥有专用的生产数据。通常,这些处理是属于特定框架的,因此你需要留意找出一个能够在你的特定环境中正常工作的。

步骤五:重新调整优先级

这最后一个步骤是你可以实施的最重要的一个步骤。既然PaaS可能意味着一种文化和优先级的调整,那么相应地接受这一调整并将其真正纳入自己的思想行为体系中。使用PaaS,所有都是与应用程序相关;这意味着组织的安全性将高度依赖于组织中的开发团队。如果这不是PaaS的问题,那么这将会是一场噩梦了,因为在基础设施级你无法实施多少措施以缓解已识别的风险。如果你一直以来都是依赖于基础设施级的控制以满足在应用程序级的安全挑战,现在是时候重新考虑。

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/4160.html

相关文章

  • 赢得Docker挑战最佳实践

    摘要:因此,将应用程序部署到生产需要数周或数月。它将改变应用程序开发过程,但某些挑战必须克服从而使得企业获得最大好处。平台将促进的发展,并且帮助其履行自己的承诺。 showImg(https://segmentfault.com/img/bVpNBt); 难怪Docker正在迅速发展。Docker,一个开源项目。仅仅两年,Docker价值近10亿美元,最近获得了9500万美元的资金。令人激动...

    fou7 评论0 收藏0
  • 机器学习和计算技术的数据未来

    摘要:机器学习和云计算技术在年仍然成为热门话题。机器学习根据调研机构公司的调查,机器学习有望改变业务流程。机器学习将越来越成为核心业务和分析组件。机器学习和云计算技术在2019年仍然成为热门话题。随着技术的发展和进步,那些在机器学习和云计算采用方面不受重视的组织可能会发现自己落后于人。而人们在行业市场上就可以看到许多举措和项目。但是要取得成功,组织必须将数据放在他们关注的平台和中心。机器学习根据调...

    2450184176 评论0 收藏0
  • 持续拥抱原生,现代化应用将把计算带进怎样的“新世界”?_资讯

    摘要:全球云计算厂商躬身入局,开启现代化应用之旅事实上,包括亚马逊云科技华为云在内的全球云计算厂商已在这一领域进行了多年实践。过去年,亚马逊云科技一直在持续不断地突破很多现代化应用技术。年,亚马逊云科技发布第一个消息队列的服务,至今已有年历史。 2006年,是云计算滚滚浪潮的开端,这场IT技术变革始于亚马逊AWS的成立,它让公有云成为整个云行业的标杆,也形成了...

    RyanQ 评论0 收藏0
  • 提供计算数据管理全部功能的

    摘要:如今,云计算显著地简化了组织在二十年前管理和访问应用程序数据和基础设施的方式。集成需要超越基本的应用程序和数据集成,以满足云计算数据管理的全部功能,其中包括数据质量。如今,云计算显著地简化了组织在二十年前管理和访问应用程序、数据和基础设施的方式。云计算将越来越简单,而且降低了成本,提高了灵活性,这是一张黄金门票。但是在通往云端的过程中发生了一件有趣的事情,那就是偶然发现了一个由多云、内部部署...

    CompileYouth 评论0 收藏0
  • 生产环境部署容器的五大挑战应对之策

    摘要:环境复杂性生态系统易变性跨不同分布式基础架构的部署本文将为你解析生产环境部署容器的五大挑战及应对之策。因此,在整个生产环境中创建监视和销毁的组件需求总量呈指数级增长,从而显著增加了基于容器的管理环境的复杂性。 Docker容器使应用程序开发变得更容易,但在生产中部署容器可能会很难。环境复杂性、生态系统易变性、跨不同分布式基础架构的部署......本文将为你解析生产环境部署容器的五大挑战...

    lwx12525 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<