词条信息

admin
admin
超级管理员
最近编辑者 发短消息   

相关词条

热门词条

更多>>
什么是端口?到底是做什么的呢?
端口一般指两种,一种是硬件比如路由器或者交换机的插网线的端口,一种是软件的逻辑的概念,比如http的80端口!...
7种进阶方法让你快速测试端口连通性
Ping是Windows、Linux和Unix系统下的一个检查网络连通性的命令工具,对于大部分互联网用户来说很...
电脑开机,总需要按F1,是什么原因造成的?
一.主板掉电这个说法是行业内的叫法了,一般是主板的CMOS电池没电了导致的。也是最常见的一种提示你按F1的提示...
社保降费对个人有什么影响?
下调城镇职工基本养老保险单位缴费比例是政府给企业发的一个大红包,特别是对于企业来说是一个利好,但是对个人来说有...
车辆“出险”对下年保费的影响,到底有多大?
【出险对交强险的影响】【出险对商业险的影响】车辆“出险”对下年保费的影响,到底有多大?这里有必要先提下车险第三...
解决网 >>所属分类 >> 云计算   

五步应对云计算PaaS安全性挑战

标签: 云计算 PaaS 安全

顶[0] 发表评论(0) 编辑词条

  当谈及安全性和云计算模型时,平台即服务(PaaS)有着它自己特殊的挑战。与其他的云计算模型不同,PaaS安全性所要求的应用程序安全性专业知识往往是大多数公司无法投入巨资就能够拥有的。这个问题很复杂,因为众多公司都使用“进驻式”基础设施级安全控制战略作为应用程序级安全性风险的应对措施(例如,一旦应用程序代码发布生产,使用WAF以缓解所发现的跨网站脚本程序或其他前端问题)。由于缺乏对PaaS中底层基础设施的控制,这一战略在PaaS部署应用中变得不具实际操作性。


  考虑到PaaS与控制相关的灵活性,你必须对底层计算环境具有一定的控制能力。如同IaaS一样,PaaS提供了近乎无限的设计灵活性:你可以基于社交网站构建任何应用,以实现内联网网站或CRM应用程序。但是,与IaaS不同的是,应用程序下的“堆栈”是不透明的,这就意味着支持应用程序的组件和基础设施都是(根据设计)一个“黑盒”。也就是说,与SaaS类似,安全性控制必须内置于应用程序本身中;但与SaaS中服务供应商通常实施应用于所有客户的应用程序级安全控制不同的是,在IaaS中安全控制措施是针对你的应用程序的。这就意味着必须由你自己承担责任以确定那些控制措施是合适的并执行具体的实施。


  这里的一个简单图示,表明了模型与客户之间的差异:



  应用程序设计灵活性

  功能控制比

  底层透明度


  对于那些在应用程序安全方面已投入巨资的组织来说,他们拥有固定满编训练有素的开发人员,独立的开发、测试以及生产流程,所以应对PaaS安全性问题应该是驾轻就熟的。而那些还未作出这些投资的机构可以遵循如下步骤,从而在一定程度上有助于应对PaaS安全性的挑战。


目录

步骤一:建立安全措施编辑本段回目录


  应用程序安全性的根本挑战远在PaaS实施前就已经存在。因此,对于如何完善生产安全、鲁棒的应用程序的部署措施已有相当的研究。有一个可提供直接支持的技术被称为应用程序威胁建模。一些很好的着力点是OWASP威胁建模页以及微软公司的安全性开发生命周期资源页。从工具的角度来看,是免费跨网站脚本(XSS)和SQL注入。拥有内部工具的企业可以将其应用于PaaS的安全性措施,或者众多PaaS供应商为客户以免费或打折的价格提供了具有类似功能的工具。而当企业希望使用一个更为广泛的扫描策略时,他们还可以使用诸如Google公司的skipfish这样的免费工具。


步骤二:扫描网络应用程序编辑本段回目录


  众多公司已经接受了应用程序扫描,这是一个用于解决通用安全问题(例如跨平台脚本(XSS)和SQL导入)的网络应用程序扫描工具。拥有内部工具的企业可以将其应用于PaaS安全性措施,或者众多PaaS供应商为客户以免费或打折的价格提供了类似功能的工具。而当企业希望使用一个更为广泛的扫描策略时,他们还可以使用诸如Google公司的skipfish这样的免费工具。


步骤三:培训开发人员编辑本段回目录


  应用程序开发人员完全通盘精通应用程序安全性原则是非常关键的。这可以包括语言级培训(即他们目前用于构建应用程序所使用语言中的安全编码原则)以及更广泛的议题,如安全性设计原则等。由于开发人员的减员和流动性等原因,这往往要求培训必须定期重复并作为常态保持下去,所以开发人员应用程序的安全性培训成本可能是较为昂贵的。幸运的是,还有一些免费的资源,例如Texas A&M/FEMA国内防备校园计划提供了一些安全性软件开发的免费电子学习资料。微软公司也通过其Clinic 2806提供了免费培训:微软开发人员安全性知道培训,这是一个开始你自己定制程序有用的入门级培训材料。


步骤四:拥有专用的测试数据编辑本段回目录


  这样的情况总是在不断发生中的:开发人员使用生产数据进行测试。这是一个需要正确认识的问题,因为机密数据(例如客户私人可辨识的数据)可能在测试过程中泄漏,特别是在开发或试运行环境中并没有执行与生产环境相同的安全措施时。PaaS的环境敏感性更甚,而众多PaaS服务更易于实现部署、试运行以及生产之间的数据库共享以简化部署。如开源Databene Benerator之类的工具可以产生符合你数据库特定结构的高容量数据,而数据格式调整有助于拥有专用的生产数据。通常,这些处理是属于特定框架的,因此你需要留意找出一个能够在你的特定环境中正常工作的。


步骤五:重新调整优先级编辑本段回目录


  这最后一个步骤是你可以实施的最重要的一个步骤。既然PaaS可能意味着一种文化和优先级的调整,那么相应地接受这一调整并将其真正纳入自己的思想行为体系中。使用PaaS,所有都是与应用程序相关;这意味着组织的安全性将高度依赖于组织中的开发团队。如果这不是PaaS的问题,那么这将会是一场噩梦了,因为在基础设施级你无法实施多少措施以缓解已识别的风险。如果你一直以来都是依赖于基础设施级的控制以满足在应用程序级的安全挑战,现在是时候重新考虑

 

 

附件列表


按字母顺序浏览:A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

→我们致力于为广大网民解决所遇到的各种电脑技术问题
 如果您认为本词条还有待完善,请 编辑词条

上一篇IaaS和PaaS数据库 哪个更安全?
下一篇最强IaaS技术盘点

0
1. 本站部分内容来自互联网,如有任何版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
2. 本站内容仅供参考,如果您需要解决具体问题,建议您咨询相关领域专业人士。
3. 如果您没有找到需要的百科词条,您可以到百科问答提问或创建词条,等待高手解答。

关于本词条的提问

查看全部/我要提问>>