როგორ დავიცვათ პლატფორმა, როგორც მომსახურების (PaaS) გარემო?

იყენებთ PaaS- ს თქვენი პროგრამებისთვის, მაგრამ დარწმუნებული არ ხართ, თუ როგორ უნდა უზრუნველყოთ მათი უზრუნველყოფა?


Platform-as-a-service (PaaS) არის ღრუბლოვანი კომპიუტერული მოდელი, რომელიც უზრუნველყოფს პლატფორმას, სადაც მომხმარებელს შეუძლია შეიმუშაოს, უზრუნველყოს, აწარმოოს და მართოს ვებ პროგრამები. ის უზრუნველყოფს ოპტიმიზირებულ გარემოს, სადაც გუნდებს შეუძლიათ შეიმუშაონ და განათავსონ აპლიკაციები დამყარებული IT ინფრასტრუქტურისა და მასთან დაკავშირებული სერვისების შეძენისა და მართვის გარეშე.

საერთოდ, პლატფორმა უზრუნველყოფს საჭირო რესურსებსა და ინფრასტრუქტურას, პროგრამული უზრუნველყოფის შემუშავებისა და განლაგების სრული სასიცოცხლო ციკლის უზრუნველსაყოფად, ხოლო დეველოპერებსა და მომხმარებლებს ინტერნეტში ნებისმიერ წერტილს უშვებენ. PaaS– ის უპირატესობებს მოიცავს, მაგრამ არ შემოიფარგლება მხოლოდ სიმარტივით, მოხერხებულობით, დაბალ ხარჯებით, მოქნილობით და მასშტაბურობით..

ჩვეულებრივ, PaaS- ს დაცვა განსხვავდება ტრადიციული არსებული მონაცემების ცენტრისგან, როგორც ვხედავთ.

PaaS გარემო ეყრდნობა უსაფრთხოების საერთო მოდელი. პროვაიდერი უზრუნველყოფს ინფრასტრუქტურას, ხოლო PaaS მომხმარებლებს ევალებათ დაიცვან თავიანთი ანგარიშები, პროგრამები და პლატფორმაზე განთავსებული მონაცემები. იდეალურ შემთხვევაში, უსაფრთხოების გადატანა არსებული შენობიდან პირადობის პერიმეტრის უსაფრთხოების მოდელზე.

ეს ნიშნავს, რომ PaaS მომხმარებელმა მეტი ყურადღება უნდა გაამახვილოს პირადობაზე, როგორც უსაფრთხოების პირველადი პერიმეტრი. ყურადღების გამახვილების საკითხები მოიცავს დაცვას, ტესტირებას, კოდს, მონაცემებსა და კონფიგურაციებს, თანამშრომლებს, მომხმარებლებს, ავთენტიფიკაციას, ოპერაციებს, მონიტორინგს და ჟურნალებს..

ამის გაკეთება ბევრია. ასე არ არის?

ნუ ინერვიულებ; ნება მიბოძეთ ნაბიჯ-ნაბიჯ მეხელმძღვანელოთ.

Contents

დაიცავით პროგრამები საერთო და მოულოდნელი შეტევებისგან

ერთ-ერთი საუკეთესო მიდგომაა რეალურ დროში ავტომატური დაცვის გადაწყვეტილების განლაგება, ნებისმიერი შეტევის სწრაფად და ავტომატურად გამოვლენის და ბლოკირების შესაძლებლობით. PaaS აბონენტებს შეუძლიათ გამოიყენონ პლატფორმაზე მოცემული უსაფრთხოების ინსტრუმენტები ან მოიძიონ მესამე მხარის პარამეტრები, რომლებიც ასრულებენ მათ მოთხოვნებს.

იდეალურმა საშუალებამ უნდა უზრუნველყოს რეალურ დროში დაცვა, ხოლო ავტომატურად აღმოაჩინოს და დაბლოკოს უნებართვო დაშვება, შეტევები ან დარღვევები.

წყარო: comodo.com

მას უნდა ჰქონდეს უჩვეულო საქმიანობის შემოწმების შესაძლებლობა, მავნე მომხმარებლები, საეჭვო ლოგინი, ცუდი ბოტები, ანგარიშის აღება და ნებისმიერი სხვა ანომალია, რამაც შეიძლება კომპრომისი გამოიწვიოს. ინსტრუმენტების გამოყენების გარდა, აუცილებელია უსაფრთხოების პროგრამაში შევიდეს, რომ მას ჰქონდეს მისი დაცვა.

დაიცავით მომხმარებლის ანგარიშები და პროგრამის რესურსები

ურთიერთქმედების თითოეული წერტილი, როგორც წესი, არის პოტენციური შეტევის ზედაპირი. შეტევების თავიდან ასაცილებლად საუკეთესო გზაა პროგრამის დაუცველებისა და რესურსების ზემოქმედების შემცირება ან შეზღუდვა, რომელთა საშუალებითაც არასანდო მომხმარებლებს შეუძლიათ წვდომა. ასევე მნიშვნელოვანია რეგულარულად და ავტომატურად შეაჩეროთ და განაახლონ უსაფრთხოების სისტემები სისუსტეების შესამცირებლად.

მიუხედავად იმისა, რომ მომსახურების მიმწოდებელი უზრუნველყოფს პლატფორმას, მომხმარებელს აქვს უფრო მნიშვნელოვანი პასუხისმგებლობა, რომ დაიცვას ანგარიში და პროგრამები. ეს ნიშნავს უსაფრთხოების ისეთი სტრატეგიების კომპლექტის გამოყენებას, როგორიცაა პლატფორმის უსაფრთხოების მახასიათებლების, დამატებების და მესამე მხარის ინსტრუმენტების ერთობლიობა, აძლიერებს ანგარიშების, აპებისა და მონაცემების დაცვას. ასევე, იგი უზრუნველყოფს, რომ მხოლოდ უფლებამოსილ მომხმარებლებს ან თანამშრომლებს შეუძლიათ წვდომა სისტემაში.

კიდევ ერთი ღონისძიებაა ადმინისტრაციული უფლებების მქონე პირთა მინიმუმამდე შემცირება, აუდიტის მექანიზმის დამყარებისას, შიდა გუნდებისა და უფლებამოსილი გარე მომხმარებლების მიერ სარისკო საქმიანობის განსაზღვრის მიზნით..

ადმინისტრაციებმა ასევე უნდა შეასრულონ მომხმარებლების მინიმალური პრივილეგიები. ამ მიდგომით, მომხმარებლებს უნდა ჰქონდეთ მხოლოდ მინიმალური პრივილეგიები, რაც მათ აძლევს საშუალებას ააწყონ პროგრამები ან სხვა როლები სწორად შეასრულონ. ეს ამცირებს შეტევის ზედაპირს, დაშვების უფლების ბოროტად გამოყენებას და პრივილეგირებული რესურსების გამოვლენას.

განაცხადის სკანირება უსაფრთხოების მოწყვლადობისთვის

შეასრულეთ რისკის შეფასება, რომ დაადგინოთ, თუ არსებობს პროგრამები და მისი ბიბლიოთეკები უსაფრთხოების საფრთხეები. გამოიყენეთ დასკვნები ყველა კომპონენტის დაცვის გასაუმჯობესებლად. იდეალურ შემთხვევაში, შექმენით რეგულარული სკანირება და დაგეგმეთ ეს, რომ ყოველდღიურად განახორციელოთ ავტომატურად ან სხვა ინტერვალებით, დამოკიდებულია აპკის მგრძნობელობაზე და უსაფრთხოების შესაძლო საფრთხეებზე..

თუ ეს შესაძლებელია, გამოიყენეთ გამოსავალი, რომელიც შეიძლება ინტეგრირდეს სხვა ინსტრუმენტებთან, როგორიცაა საკომუნიკაციო პროგრამით, ან აქვს ინტეგრირებული ფუნქცია, რომ აცნობოს შესაბამის პირებს, როდესაც იგი განსაზღვრავს უსაფრთხოების საფრთხეს ან შეტევას..

უსაფრთხოების საკითხების ტესტირება და დაფიქსირება დამოკიდებულებებში

ჩვეულებრივ, პროგრამები დამოკიდებული იქნება როგორც პირდაპირ, ასევე არაპირდაპირი დამოკიდებულებით, რაც ძირითადად ღია წყაროა. ამ კომპონენტების ყველა ხარვეზს შესაძლებლობა აქვს, უსაფრთხოების შემთხვევაში, დაუცველობებში შევიდეს აპლიკაციაში, თუ არ იქნა გამოყენებული.

კარგი პრაქტიკაა პროგრამების ყველა შიდა და გარე კომპონენტის ანალიზი, API შეღწევადობის ტესტების ჩატარება, მესამე მხარის ქსელების შემოწმება და სხვა. დაუცველების გამოსწორების რამდენიმე ეფექტური საშუალება მოიცავს დამოკიდებულების განახლებას ან შეცვლას უსაფრთხო ვერსიით, პაჩინგი და ა.შ..

სნიკი ღირებული იქნება უსაფრთხოების ხარვეზების მონიტორინგი დამოკიდებულებებში.

შეასრულეთ შეღწევადობის ტესტირება და საფრთხის მოდელირება

შეღწევადობის ტესტირება ეხმარება იდენტიფიცირება და უსაფრთხოების ხვრელების ან დაუცველების დადგენა, სანამ თავდამსხმელები შეძლებენ იპოვნონ და გამოიყენონ ისინი. იმის გამო, რომ შეღწევადობის ტესტები, როგორც წესი, აგრესიულია, ისინი შეიძლება გამოჩნდნენ როგორც DDoS შეტევები, და აუცილებელია კოორდინაცია გაუწიონ სხვა უსაფრთხოების ჯგუფებს, რათა თავიდან აიცილონ ყალბი სიგნალიზაცია..

საფრთხის მოდელირება გულისხმობს შესაძლო შეტევების სიმულაციას, რაც მომდინარეობდა სანდო საზღვრებიდან. ეს ხელს უწყობს იმის გარკვევას, არის თუ არა დიზაინის ხარვეზები, რომლებსაც თავდამსხმელები შეუძლიათ გამოიყენონ. მოდელირება IT ჯგუფებს ავითარებს საფრთხის შემსწავლელ დაზვერვას, რომლის გამოყენებით მათ შეუძლიათ უსაფრთხოების გაუმჯობესება და შემუშავებული ღონისძიებები, რათა აღინიშნოს ნებისმიერი სისუსტე ან საფრთხე..

საქმიანობის მონიტორინგი & ფაილის წვდომა

პრივილეგირებული ანგარიშების მონიტორინგი უსაფრთხოების გუნდებს საშუალებას აძლევს მიიღონ ხილვადობა და გაიგონ, როგორ იყენებენ მომხმარებლები პლატფორმას. ეს საშუალებას აძლევს უსაფრთხოების ჯგუფებს დაადგინონ, აქვთ თუ არა პრივილეგირებული მომხმარებლების მიერ განხორციელებული საქმიანობა უსაფრთხოების პოტენციურ რისკებთან ან შესაბამისობასთან დაკავშირებული პრობლემები.

მონიტორინგი და შეხვიდეთ რას აკეთებენ მომხმარებლები თავიანთი უფლებებით, ასევე ფაილებზე განხორციელებული აქტივობებით. ეს ითვალისწინებს ისეთ საკითხებს, როგორიცაა საეჭვო წვდომა, ცვლილებები, უჩვეულო გადმოტვირთვა ან ატვირთვები და ა.შ..

სწორი გამოსავალი უნდა ჰქონდეს შინაგანი საფრთხეების და მაღალი რისკის შემცველი მომხმარებლების იდენტიფიცირების შესაძლებლობას, ეძებს ისეთ საკითხებს, როგორიცაა პარალელური შესვლა, საეჭვო საქმიანობა და შესვლის მრავალი წარუმატებელი მცდელობა. სხვა ინდიკატორებში შედის უცნაურ საათებში შესვლა, საეჭვო ფაილისა და მონაცემების ჩამოტვირთვის ან ატვირთვა და ა.შ., როდესაც ეს შესაძლებელია, ავტომატური შემამსუბუქებელი ზომები ხელს შეუშლის რაიმე საეჭვო მოქმედებას და გააფრთხილებს უსაფრთხოების ჯგუფებს შეამოწმონ დარღვევა, ასევე მიმართონ უსაფრთხოების დაუცველობებს..

უზრუნველყოს მონაცემები დასვენებისა და ტრანს – ტრანზიტის დროს

საუკეთესო პრაქტიკაა მონაცემთა დაშიფვრა შენახვის დროს და ტრანსპორტირების დროს. საკომუნიკაციო არხების უსაფრთხოება ხელს უშლის ადამიანის შუა რიცხვებში შეტევას, რადგან მონაცემები ინტერნეტით მოძრაობს.

თუ უკვე არა, განახორციელეთ HTTPS, TLS სერთიფიკატის საშუალებით, საკომუნიკაციო არხის დაშიფვრასა და უზრუნველსაყოფად და, შესაბამისად, ტრანზიტის მონაცემებში..

მონაცემების ყოველთვის დამოწმება

ეს უზრუნველყოფს, რომ შეყვანის მონაცემები სწორი ფორმატით, მართებული და უსაფრთხო იყოს.

ყველა მონაცემს, შინაგანი მომხმარებლებისა თუ გარე სანდო და არა სანდო წყაროების უსაფრთხოების ჯგუფებისგან, საჭიროა მონაცემების განხილვა, როგორც მაღალი რისკის კომპონენტები. იდეალურ შემთხვევაში, კლიენტის მხრიდან და უსაფრთხოების შემოწმებისას შეასრულეთ მონაცემების ატვირთვა, რომელიც უზრუნველყოფს სუფთა მონაცემების გადავლას კომპრომეტირებული ან ვირუსით ინფიცირებული ფაილების დაბლოკვის დროს..

კოდის დაცვა

გააანალიზეთ განვითარების სასიცოცხლო ციკლის პერიოდში დაუცველობათა კოდის შესახებ. ეს იწყება საწყისი ეტაპებიდან და დეველოპერები უნდა განათავსონ მხოლოდ პროდუქტიზე განაცხადის დამტკიცება მას შემდეგ, რაც დადასტურებულია, რომ კოდი უსაფრთხოა.

მრავალფუნქციური ავტორიზაციის განხორციელება

მრავალფუნქციური ავტორიზაციის ჩართვა დამატებით დამატებით დამცავ ფენას ქმნის, რაც აუმჯობესებს უსაფრთხოებას და უზრუნველყოფს მხოლოდ უფლებამოსილ მომხმარებლებს წვდომას აპებში, მონაცემებსა და სისტემებში. ეს შეიძლება იყოს პაროლის, OTP, SMS, მობილური პროგრამების და ა.შ..

განახორციელეთ პაროლის ძლიერი პოლიტიკა

უმეტესობა იყენებს სუსტი პაროლების გამოყენებას, რომლებიც ადვილად დასამახსოვრებელია და შესაძლოა არასდროს შეცვალოთ ისინი, თუ არა იძულება. ეს არის უსაფრთხოების რისკი, რომლის საშუალებითაც ადმინისტრატორს შეუძლია მინიმუმამდე დაიყვანოს ძლიერი პაროლის პოლიტიკის გატარებით.

ეს უნდა მოითხოვოს ძლიერი პაროლები, რომლებიც ამოიწურება გარკვეული პერიოდის შემდეგ. უსაფრთხოების კიდევ ერთი ღონისძიებაა შეჩერებული და მარტივი ტექსტური რწმუნებათა სიგნალის შენახვის შეჩერება. იდეალურ შემთხვევაში, დაშიფვრეთ ავთენტიფიკაციის ნიშანი, რწმუნებათა სიგელები და პაროლები.

გამოიყენეთ სტანდარტული ავტორიზაცია და ავტორიზაცია

საუკეთესო პრაქტიკაა სტანდარტული, საიმედო და ტესტირებული ავტორიზაციის და ავტორიზაციის მექანიზმებისა და ოქმების გამოყენება, როგორიცაა OAuth2 და Kerberos. მიუხედავად იმისა, რომ თქვენ შეგიძლიათ შეიმუშაოთ პერსონალური ავტორიზაციის კოდები, ეს მიდრეკილია შეცდომების და დაუცველებისაკენ, შესაბამისად, სავარაუდოდ, სისტემებს თავდამსხმელებს გამოავლენს..

მართვის ძირითადი პროცესები

გამოიყენეთ ძლიერი კრიპტოგრაფიული კლავიშები და თავიდან აიცილეთ მოკლე ან სუსტი კლავიშები, რომლებიც თავდამსხმელებმა შეიძლება იწინასწარმეტყველონ. ასევე, გამოიყენეთ გასაღების განაწილების უსაფრთხო მექანიზმები, რეგულარულად გადაატრიალეთ კლავიშები, ყოველთვის განაახლეთ ისინი დროულად, გააუქმეთ ისინი საჭიროების შემთხვევაში და თავიდან აიცილოთ მათში დაშიფვრა..

ავტომატური და რეგულარული კლავიშის როტაცია აუმჯობესებს უსაფრთხოებას და შესაბამისობას, ხოლო რისკის ქვეშ მყოფი დაშიფრული მონაცემების რაოდენობას ზღუდავს.

მართეთ პროგრამები და მონაცემები

მართვადი და აუდიტორული უსაფრთხოების პოლიტიკის შემუშავება და განხორციელება მკაცრი დაშვების წესებით. საუკეთესო მიდგომაა უფლებამოსილი თანამშრომლებისა და მომხმარებლებისთვის მხოლოდ და მხოლოდ აუცილებელი დაშვების უფლების მინიჭება.

ეს ნიშნავს დაშვების სათანადო დონის მინიჭებას მხოლოდ პროგრამებსა და მონაცემებზე, რომელთა შესრულებასაც ისინი მოითხოვს. ასევე, რეგულარულად უნდა განხორციელდეს მონიტორინგი იმის შესახებ, თუ როგორ იყენებენ ადამიანები დავალებულ უფლებებს და გააუქმებენ მათ, რომლებსაც ისინი ბოროტად იყენებენ, ან არ მოითხოვს.

მიმდინარე ოპერაცია

რამდენიმე რამ არის გასაკეთებელი.

  • უწყვეტი ტესტირების ჩატარება, რეგულარული მოვლა, პატჩინგი და პროგრამების განახლება, უსაფრთხოების დაუცველობასთან დაკავშირებული პრობლემების იდენტიფიცირებისა და გამოსწორების მიზნით.
  • აქტივების, მომხმარებლებისა და შეღავათების აუდიტის მექანიზმის შექმნა. შემდეგ უსაფრთხოების ჯგუფებმა უნდა განიხილონ ეს რეგულარულად, რომ დაადგინონ და მოაგვარონ ნებისმიერი საკითხი, გარდა იმისა, რომ გაუქმდეს დაშვების უფლებები, რომელსაც მომხმარებლები ბოროტად იყენებენ ან არ საჭიროებენ.
  • შეიმუშავეთ და განავითარეთ ინციდენტების რეაგირების გეგმა, რომელიც აჩვენებს, თუ როგორ უნდა მოგვარდეს საფრთხეები და დაუცველები. იდეალურ შემთხვევაში, გეგმა უნდა შეიცავდეს ტექნოლოგიებს, პროცესებს და ხალხს.

ავტომატურად შეაგროვეთ და გაანალიზეთ მორები

პროგრამები, API და სისტემების ჟურნალი უამრავ ინფორმაციას გვაწვდის. ავტომატური ხელსაწყოს ჟურნალის შეგროვებასა და გაანალიზების ჟურნალის ათვისებას უზრუნველყოფს სასარგებლო წარმოდგენა იმის შესახებ, თუ რა ხდება. ყველაზე ხშირად, ხეების განაწილების სერვისები, რომლებიც ხელმისაწვდომია როგორც ინტეგრირებული მახასიათებლებით, ან მესამე მხარის დამატებებით, შესანიშნავია უსაფრთხოების პოლიტიკის და სხვა რეგულაციების დაცვით და აუდიტისთვის..

გამოიყენეთ ჟურნალის ანალიზატორი, რომელიც ინტეგრირდება განგაშის სისტემაში, მხარს უჭერს თქვენი პროგრამის ტექნიკური სტრიქონებს და უზრუნველყოფს დაფა და ა.შ..

შეინახეთ და გადახედეთ აუდიტის ბილიკს

საუკეთესო პრაქტიკაა მომხმარებლის და დეველოპერის საქმიანობის აუდიტორული ბილიკის შენახვა, როგორიცაა წარმატებული და ჩავარდნილი შესვლის მცდელობები, პაროლის ცვლილებები და სხვა ანგარიშებთან დაკავშირებული ღონისძიებები. ავტომატურ მახასიათებელს შეუძლია გამოიყენოს მრიცხველები საეჭვო და დაუცველი მოქმედებებისგან თავის დასაცავად.

აუდიტის ბილიკი შეიძლება მომგებიანი იყოს იმის გამოძიებისას, როდესაც არსებობს დარღვევა ან მასზე თავდასხმის ეჭვი.

დასკვნა

PaaS მოდელი ხსნის ტექნიკის და პროგრამული უზრუნველყოფის შეძენის, მენეჯმენტისა და შენარჩუნების სირთულეს და ღირებულებას, მაგრამ აკისრებს პასუხისმგებლობას ანგარიშების, აპებისა და მონაცემების დაცვაზე მომხმარებელს ან აბონენტს. ეს მოითხოვს პირადზე ორიენტირებულ მიდგომას, რომელიც განსხვავდება იმ სტრატეგიებისგან, რომლებიც კომპანიებს იყენებენ ტრადიციული მონაცემთა ბაზების ცენტრებში.

ეფექტური ზომები მოიცავს პროგრამებში უსაფრთხოების დაცვას, სათანადო შიდა და გარე დაცვას, აგრეთვე საქმიანობის მონიტორინგსა და აუდიტს. ჩანაწერების შეფასება ხელს უწყობს უსაფრთხოების დაუცველობებს და ასევე გაუმჯობესების შესაძლებლობებს. იდეალურ შემთხვევაში, უსაფრთხოების ჯგუფებმა უნდა მიმართონ ნებისმიერი საფრთხის ან დაუცველების მოგვარებას, სანამ თავდამსხმელები დაინახავდნენ და იყენებენ მათ.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map