五步应对云计算PaaS安全性挑战

当谈及安全性和云计算模型时,平台即服务(PaaS)有着它自己特殊的挑战。与其他的云计算模型不同,PaaS安全性所要求的应用程序安全性专业知识往往是大多数公司无法投入巨资就能够拥有的。这个问题很复杂,因为众多公司都使用“进驻式”基础设施级安全控制战略作为应用程序级安全性风险的应对措施(例如,一旦应用程序代码发布生产,使用WAF以缓解所发现的跨网站脚本程序或其他前端问题)。由于缺乏对PaaS中底层基础设施的控制,这一战略在PaaS部署应用中变得不具实际操作性。

考虑到PaaS与控制相关的灵活性,你必须对底层计算环境具有一定的控制能力。如同IaaS一样,PaaS提供了近乎无限的设计灵活性:你可以基于社交网站构建任何应用,以实现内联网网站或CRM应用程序。但是,与IaaS不同的是,应用程序下的“堆栈”是不透明的,这就意味着支持应用程序的组件和基础设施都是(根据设计)一个“黑盒”。也就是说,与SaaS类似,安全性控制必须内置于应用程序本身中;但与SaaS中服务供应商通常实施应用于所有客户的应用程序级安全控制不同的是,在IaaS中安全控制措施是针对你的应用程序的。这就意味着必须由你自己承担责任以确定那些控制措施是合适的并执行具体的实施。

这里的一个简单图示,表明了模型与客户之间的差异:

  • 应用程序设计灵活性
  • 功能控制比
  • 底层透明度

对于那些在应用程序安全方面已投入巨资的组织来说,他们拥有固定满编训练有素的开发人员,独立的开发、测试以及生产流程,所以应对PaaS安全性问题应该是驾轻就熟的。而那些还未作出这些投资的机构可以遵循如下步骤,从而在一定程度上有助于应对PaaS安全性的挑战。

步骤一:建立安全措施

应用程序安全性的根本挑战远在PaaS实施前就已经存在。因此,对于如何完善生产安全、鲁棒的应用程序的部署措施已有相当的研究。有一个可提供直接支持的技术被称为应用程序威胁建模。一些很好的着力点是OWASP威胁建模页以及微软公司的安全性开发生命周期资源页。从工具的角度来看,是免费跨网站脚本(XSS)和SQL注入。拥有内部工具的企业可以将其应用于PaaS的安全性措施,或者众多PaaS供应商为客户以免费或打折的价格提供了具有类似功能的工具。而当企业希望使用一个更为广泛的扫描策略时,他们还可以使用诸如Google公司的skipfish这样的免费工具。

步骤二:扫描网络应用程序

众多公司已经接受了应用程序扫描,这是一个用于解决通用安全问题(例如跨平台脚本(XSS)和SQL导入)的网络应用程序扫描工具。拥有内部工具的企业可以将其应用于PaaS安全性措施,或者众多PaaS供应商为客户以免费或打折的价格提供了类似功能的工具。而当企业希望使用一个更为广泛的扫描策略时,他们还可以使用诸如Google公司的skipfish这样的免费工具。

步骤三:培训开发人员

应用程序开发人员完全通盘精通应用程序安全性原则是非常关键的。这可以包括语言级培训(即他们目前用于构建应用程序所使用语言中的安全编码原则)以及更广泛的议题,如安全性设计原则等。由于开发人员的减员和流动性等原因,这往往要求培训必须定期重复并作为常态保持下去,所以开发人员应用程序的安全性培训成本可能是较为昂贵的。幸运的是,还有一些免费的资源,例如Texas A&M/FEMA国内防备校园计划提供了一些安全性软件开发的免费电子学习资料。微软公司也通过其Clinic 2806提供了免费培训:微软开发人员安全性知道培训,这是一个开始你自己定制程序有用的入门级培训材料。

步骤四:拥有专用的测试数据

这样的情况总是在不断发生中的:开发人员使用生产数据进行测试。这是一个需要正确认识的问题,因为机密数据(例如客户私人可辨识的数据)可能在测试过程中泄漏,特别是在开发或试运行环境中并没有执行与生产环境相同的安全措施时。PaaS的环境敏感性更甚,而众多PaaS服务更易于实现部署、试运行以及生产之间的数据库共享以简化部署。如开源Databene Benerator之类的工具可以产生符合你数据库特定结构的高容量数据,而数据格式调整有助于拥有专用的生产数据。通常,这些处理是属于特定框架的,因此你需要留意找出一个能够在你的特定环境中正常工作的。

步骤五:重新调整优先级

这最后一个步骤是你可以实施的最重要的一个步骤。既然PaaS可能意味着一种文化和优先级的调整,那么相应地接受这一调整并将其真正纳入自己的思想行为体系中。使用PaaS,所有都是与应用程序相关;这意味着组织的安全性将高度依赖于组织中的开发团队。如果这不是PaaS的问题,那么这将会是一场噩梦了,因为在基础设施级你无法实施多少措施以缓解已识别的风险。如果你一直以来都是依赖于基础设施级的控制以满足在应用程序级的安全挑战,现在是时候重新考虑

本文作者:佚名

来源:51CTO

时间: 2024-10-02 07:56:52

五步应对云计算PaaS安全性挑战的相关文章

五步实现云计算PaaS 安全性

当谈及安全性和云计算模型时,平台即服务(PaaS)有着它自己特殊的挑战.与其他的云计算模型不同,PaaS安全性所要求的应用程序安全性专业知识往往是大多数公司无法投入巨资就能够拥有的.这个问题很复杂,因为众多公司都使用"进驻式"基础设施级安全控制战略作为应用程序级安全性风险的应对措施(例如,一旦应用程序代码发布生产,使用WAF以缓解所发现的跨网站脚本程序或其他前端问题).由于缺乏对PaaS中底层基础设施的控制,这一战略在PaaS部署应用中变得不具实际操作性. 考虑到PaaS与控制相关的灵

【知云】第五期:云计算的安全性

摘要:云计算的安全性是选择上云的用户们最为关心的一个问题,因为网络不安全或者数据不安全对于业务的发展的打击可能是致命的,云计算的安全性究竟是怎样的呢?本文中云计算布道师倪波(花名:竹雾)将为大家分享. 想要看视频版?请点击这里:[知云]云计算的安全性 选择了云计算之后,其实大家最关心的问题就是云计算的安全与稳定.每个国家对于个人隐私以及数据的私密性都是有严格标准的,而阿里云近期也通过了很多的国际的安全标准认证,包括ISO2007.MTCS等,这些所有的安全合规都要求对于用户数据的私密性.用户信息

企业混合云进化论 五步教你变身云专家

有人说混合云是私有云和公有云的结合,但得到的效果并非简单的1+1=2,而是>2.目前大多数企业都处在云入门阶段,混合云的价值几何?如何构建混合云?如何管理混合云?等问题也摆在了企业CIO的面前.而我们今天探讨的五个方向内容,恰恰可以帮助企业CIO应对这些挑战,辅助其构建并管理混合云,成功进化变身云专家. 传统企业眼中的混合云 云计算在企业信息化中早已家喻户晓,企业也都纷纷开始尝试使用,IT建设相对成熟的大中型企业大多选择私有云,IT建设相对薄弱的小型企业更多选择公有云. 但随着云计算技术以及企业

投资人热衷的云计算行业 安全性究竟有多重要?

云计算市场近几年的迅猛发展,使得越来越多的企业对云计算的认可度不断提高,这是得益于云计算确实给企业云业务所带来了便捷与高效等利好.与此同时,资本市场对于云计算市场也相对比较热衷. 但随着云计算行业的发展,除了基本的节点.带宽.价格等备受企业关注的因素外,云计算服务商的安全性也成为各方关注的焦点.尤其是众多企业将任务关键型应用程序和相关的数据逐步上云,如此一来,云的安全性比以往任何时候都显得更为重要.云计算的安全问题,也开始从被动安全逐渐上升到主动安全模式,不仅要从备份恢复的常规安全思维里跳脱出,

互联网企业应对“云计算”慢半拍

中介交易 SEO诊断 淘宝客 云主机 技术大厅 当微软.IBM.谷歌.惠普.亚马逊等国际巨头巨额投资"云计算"时,中国互联网企业何去何从? 腾讯联席CTO熊明华预言,未来5年内,面对带宽.存储.电力.机房等成本的大量增长,中国互联网企业的利润可能会被吃掉,如果不能应对"云计算"的挑战,中国互联网也许会面临"崩溃". 实际上,中国互联网企业也在应对"云计算"方面有着自己的理解,但是和国际巨头相比,它们的理解和应对仍然显得简单而被

云计算的安全性和能耗及其发展趋势分析

引言 随着高速网络发展,日益增长的网络需求通过大规模的数据中心处理.数千台服务器和网络系统存储,许多互联网公司如谷歌.亚马逊.雅虎等在世界各地经营者如此庞大的数据处理中心,这种网络服务被称为云计算服务.从云计算的服务模式来看,安全面临的问题一是数据隐私安全,将数据外包给云服务商如何保证数据隐私与安全,二是服务可信性,如何确定云服务商反馈的服务是可信的,失去数据的物理控制及数据位置不确定如何安全,即数据失控风险.云计算同时也是一个高度可扩展性和成本效益的基础设施运行 HPC.企业和 Web 应用程

京颐医疗云产品总监柏鹏:云转型布局未来,我们是如何应对医疗云的挑战与机遇

[现场视频]京颐医疗云产品总监柏鹏:云转型布局未来,我们是如何应对医疗云的挑战与机遇,点此观看视频→https://yq.aliyun.com/video/play/1172 摘要:在9月7日云栖专家"走进京颐"线下活动中,京颐医疗云事业部产品总监柏鹏为大家分享了目前中国医疗云的前景概况,简单介绍了京颐医疗云,并且对于大数据以及互联网+与医疗云的融合和应用进行了分享,错过了线下活动的小伙伴们,不要错过本文哦~ 本文内容根据演讲专家音频材料以及PPT整理而成. 京颐医疗云产品总监柏鹏认为

IT巨头互掐云计算:安全性和耗能存争议

文章讲的是IT巨头互掐云计算:安全性和耗能存争议,"云"在哪里?其实,云计算技术在网络服务中已经随处可见,例如云桌面.云办公.云视频.云游戏.云搜索.云识别.云U盘等.用户不必了解其背后的运行原理,也无需自备一些硬件和软件,就可以在"云端"自由地浏览.办公或娱乐. 身边就是一片"云" 体验 白领萧潇(化名)对任何科技新知都难以表现出兴趣,"云?听说过,是什么?"很快她就投入到了对附近商场打折活动的热切关注中.其实,像萧潇一样,

企业如何应对云计算的法律风险

本文讲的是企业如何应对云计算的法律风险,[IT168 资讯]安全.透明度和方便的数据便携性是日益增多的问题.对于企业最终用户来说,云计算的优势已经建立起来了.但是,全球性律师事务所White & Case的一位律师说,企业和服务提供商在考虑应用管理的和虚拟的服务的时候还要慎重考虑. 负责处理与信息技术.品牌和许可证有关的案子的律师Daren Orzechowski说,云计算可能产生安全.合法访问和数据备份等问题.他说,采用云计算马上就会想到两个问题:其他人谁会看到我的数据?如果出现问题,我会有副