Како осигурати платформу као сервисно (ПааС) окружење?

Да ли користите ПааС за своје апликације, али нисте сигурни како да их осигурате?


Платформа као услуга (ПааС) је модел рачунара у облаку који пружа платформу на којој купци могу да развијају, обезбеђују, покрећу и управљају веб апликацијама. Омогућава оптимизовано окружење у којем тимови могу да развијају и распоређују апликације без куповине и управљања основном ИТ инфраструктуром и пратећим услугама.

Генерално, платформа пружа неопходне ресурсе и инфраструктуру да подржи цео животни циклус развоја и примене софтвера, истовремено омогућавајући програмерима и корисницима приступ са било ког места на Интернету. Предности ПааС-а укључују, али нису ограничене на, једноставност, практичност, ниже трошкове, флексибилност и скалабилност.

Обично се обезбеђивање ПааС-а разликује од традиционалног локалног дата центра као што ћемо видети.

ПааС окружење се ослања на дељени сигурносни модел. Провајдер обезбеђује инфраструктуру док су ПааС-ови купци одговорни за заштиту својих рачуна, апликација и података који се налазе на платформи. У идеалном случају, безбедност се помера са сигурносног модела на периметар идентитета.

То значи да се ПааС купац мора више фокусирати на идентитет као примарни сигурносни обод. Питања која треба да се фокусирају укључују заштиту, тестирање, код, податке и конфигурације, запослене, кориснике, аутентификацију, операције, надгледање и записе.

То је пуно посла. Зар не??

Не брини; дозволите ми да вас водим корак по корак.

Штити апликације од уобичајених и неочекиваних напада

Један од најбољих приступа је примена решења за аутоматску заштиту у реалном времену са могућношћу брзог и аутоматског откривања и блокирања било ког напада. ПааС претплатници могу користити сигурносне алате који се пружају на платформи или потражити опције трећих страна које одговарају њиховим захтевима.

Идеалан алат треба да пружа заштиту у реалном времену, а да притом аутоматски открива и блокира неовлашћени приступ, нападе или кршења.

Извор: цомодо.цом

Требао би имати могућност провјере необичних активности, злонамерних корисника, сумњивих пријава, лоших ботова, преузимања рачуна и било које друге аномалије која може довести до компромиса. Поред употребе алата, постоји потреба да се у апликацију изгради сигурност тако да има и своју заштиту.

Заштитите корисничке рачуне и ресурсе апликација

Свака тачка интеракције обично је потенцијална површина напада. Најбољи начин за спречавање напада је смањење или ограничавање изложености рањивости апликација и ресурса којима непоуздани корисници могу приступити. Важно је такође редовно и аутоматски закрпати и ажурирати безбедносне системе да би се смањиле слабости.

Иако пружатељ услуга осигурава платформу, купац има значајнију одговорност за заштиту налога и апликација. То значи да коришћење скупа безбедносних стратегија, као што је комбинација уграђених безбедносних функција платформе, додатака и алата треће стране, побољшава заштиту налога, апликација и података. Такође, осигурава да само овлашћени корисници или запослени могу да приступе систему.

Друга мера је да се број запослених са административним правима сведе на минимум, истовремено успостављајући механизам ревизије за препознавање ризичних активности од стране унутрашњих тимова и овлашћених екстерних корисника.

Администратори би требало да примене и најмање корисничке привилегије. С овим приступом корисници би требали имати најмање најмање привилегија које им омогућавају правилно покретање апликација или обављање других улога. То смањује површину напада, злоупотребу права приступа и излагање привилегованих ресурса.

Скенирајте апликацију ради сигурносних рањивости

Извршите процјену ризика да бисте утврдили постоје ли сигурносне пријетње или рањивости у апликацијама и у њеним библиотекама. Користите налазе да бисте побољшали заштиту свих компоненти. У идеалном случају успоставите редовно скенирање и закажите то да се аутоматски покреће свакодневно или било који други интервал у зависности од осетљивости апликације и потенцијалних безбедносних претњи.

Ако је могуће, користите решење које се може интегрисати с другим алатима, попут комуникацијског софтвера или има уграђену функцију да упозори релевантне људе кад год идентификује безбедносну претњу или напад.

Испитајте и исправите сигурносна питања у зависностима

Апликације обично зависе од директних и индиректних зависности, које су углавном опен соурце. Све грешке у овим компонентама могу увести сигурносне рањивости у апликацију ако се оне не реше.

Добра пракса је анализа свих унутрашњих и екстерних компоненти апликација, извршавање тестова пенетрације АПИ-ја, провера мрежа трећих страна и још много тога. Неки од ефикасних средстава за поправљање рањивости укључују надоградњу или замену зависности сигурном верзијом, закрпом итд..

Сник било би вриједно покушати надгледати сигурносне недостатке у зависностима.

Врши тестирање пенетрације и моделирање претњи

Пенетрација тестирање помаже у препознавању и рјешавању сигурносних рупа или рањивости прије него што их нападачи пронађу и искористе. Будући да су тестови пенетрације обично агресивни, могу се појавити као ДДоС напади, а од суштинске је важности координација са другим безбедносним тимовима да се избегне стварање лажних аларма.

Моделирање претњи укључује симулирање могућих напада који би произашли из поверљивих граница. Ово помаже да се утврди да ли постоје недостаци у дизајну које нападачи могу да искористе. Моделирање опремља ИТ тимове обавештајним информацијама о претњама које могу користити да појачају безбедност и развију противмере за решавање свих утврђених слабости или претњи.

Надгледајте активности & приступ датотекама

Надгледање привилегованих налога омогућава безбедносним тимовима да стекну видљивост и разумеју како корисници користе платформу. То омогућава безбедносним тимовима да утврде да ли активности привилегованих корисника имају потенцијалне безбедносне ризике или проблеме са поштовањем прописа.

Пратите и евидентирајте шта корисници раде са својим правима, као и активности на датотекама. Овде се траже проблеми попут сумњивог приступа, модификација, необичног преузимања или учитавања, итд. Праћење активности датотека такође треба да обезбеди списак свих корисника који су приступили датотеци у случају да постоји потреба за истрагом кршења..

Право решење требало би да буде у стању да идентификује интерне претње и кориснике високог ризика тако што ће тражити проблеме попут истовремених пријава, сумњивих активности и многих неуспелих покушаја пријаве. Остали индикатори укључују пријављивање у чудно радно време, сумњиве преузимања датотека или отпреме података и сл. Када је то могуће, аутоматске мере ублажавања блокират ће све сумњиве активности и упозорити безбедносне тимове да истраже повреду као и да адресирају све безбедносне рањивости.

Осигурајте податке у мировању и у транзиту

Најбоља пракса је шифрирање података током складиштења и у транзиту. Осигуравање комуникационих канала спречава могуће нападе човека у средини док подаци путују Интернетом.

Ако већ није, имплементирајте ХТТПС тако што ћете омогућити ТЛС сертификат да шифрира и осигура комуникацијски канал, а самим тим и податке у транзиту.

Увек потврдите податке

На тај начин осигурава се да су улазни подаци исправног формата, ваљани и сигурни.

Сви подаци, без обзира да ли су интерни корисници или спољни безбедносни и непоуздани извори безбедносних тимова, треба да третирају податке као компоненте високог ризика. У идеалном случају, извршите провјеру на страни клијента и сигурносне провјере прије пријеноса података осигураће да пролазе само чисти подаци док блокирају компромитиране или вирусом заражене датотеке.

Сигурност кода

Анализирајте код за рањивости током развојног животног циклуса. Ово почиње од почетних фаза, а програмери би требало да примене апликацију у производњу тек након што потврде да је код сигуран.

Појачајте мултифакторску провјеру аутентичности

Омогућавањем мултифакторске провјере идентитета додаје се додатни заштитни слој који побољшава сигурност и осигурава да само овлаштени корисници имају приступ апликацијама, подацима и системима. Ово може бити комбинација лозинке, ОТП-а, СМС-а, мобилних апликација итд.

Проведите јаку политику лозинке

Већина људи користи слабе лозинке које се лако памте и никада их не могу мењати, осим ако нису присиљене. Ово је безбедносни ризик који администратори могу смањити применом снажних смерница за лозинку.

Ово би требало да захтева снажне лозинке које истекну након одређеног периода. Друга мера сигурности је да се заустави похрањивање и слање вјеродостојних текстова. У идеалном случају шифрирајте знакове за потврду, вјеродајнице и лозинке за аутентификацију.

Користите стандардну аутентификацију и ауторизацију

Најбоља пракса је употреба стандардних, поузданих и тестираних механизама за провјеру идентитета и ауторизације и протокола као што су ОАутх2 и Керберос. Иако можете развити прилагођене кодове за аутентификацију, они су склони грешкама и рањивима, па ће вероватно изложити системе нападачима.

Кључни процеси управљања

Користите јаке криптографске кључеве и избјегавајте кратке или слабе типке које нападачи могу предвидјети. Такође користите сигурне механизме дистрибуције кључева, редовно ротирајте кључеве, увек их обнављајте на време, опозовите их када је потребно и избегавајте тешко кодирање у апликације.

Употреба аутоматске и редовне ротације тастера побољшава сигурност и усклађеност уз ограничавање количине шифрованих података у ризику.

Управљајте приступ апликацијама и подацима

Развити и спровести управљану и ревизијску безбедносну политику са строгим правилима приступа. Најбољи је приступ да се овлашћеним запосленима и корисницима омогуће само потребна права приступа и не више.

То значи да доделите праве нивое приступа само апликацијама и подацима који су им потребни да би извршили своје задатке. Такође, требало би редовно пратити како људи користе додељена права и опозивају их која злоупотребљавају или не захтевају.

У току је операција

Треба учинити неколико ствари.

  • Обављање континуираног тестирања, редовног одржавања, закрпа и ажурирања апликација ради препознавања и поправљања нових сигурносних рањивости и проблема са усаглашеношћу..
  • Успостављање механизма за ревизију имовине, корисника и привилегија. Тада би безбедносни тимови требало да их редовно прегледавају како би идентификовали и адресирали било какве проблеме, осим опозива права приступа које корисници злоупотребљавају или не захтевају..
  • Развити и имплементирати план реакција на инцидент који показује како се бавити претњама и рањивостима. У идеалном случају, план треба да укључује технологије, процесе и људе.

Прикупљајте и анализирајте записнике аутоматски

Апликације, АПИ-и и системски дневници пружају пуно информација. Примена аутоматског алата за прикупљање и анализу записника даје корисне увиде у оно што се догађа. Најчешће су услуге евидентирања, доступне као уграђене функције или додаци трећих страна, сјајне за провјеру усклађености са сигурносним политикама и другим прописима, као и за ревизије..

Користите анализатор дневника који се интегрише са системом узбуњивања, подржава ваше техничке скупове апликација и пружа контролну таблу итд..

Задржите и прегледајте след ревизије

Најбоља пракса је да чувате след ревизије активности корисника и програмера као што су успешни и неуспели покушаји пријаве, промене лозинке и други догађаји у вези са налогом. Аутоматска функција може користити шалтере за заштиту од сумњивих и несигурних активности.

Траг ревизије може бити од користи за истраживање када постоји кршење или сумња на напад.

Закључак

ПааС модел уклања сложеност и трошкове куповине, управљања и одржавања хардвера и софтвера, али ставља одговорност на осигурање рачуна, апликација и података на купца или претплатника. Ово захтева приступ који се фокусира на идентитет и који се разликује од стратегија које компаније користе у традиционалним центрима података који се налазе на локацији.

Ефикасне мере укључују уградњу сигурности у апликације, пружајући адекватну унутрашњу и спољну заштиту као и надгледање и ревизију активности. Процена дневника помаже у препознавању сигурносних рањивости као и могућности побољшања. У идеалном случају, безбедносни тимови морају да се суоче са било каквом претњом или угроженошћу пре него што их нападачи примете и искористе.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map