PaaS安全:降低企业风险的四条规则

日期:2016-10-27作者:Char Sample翻译:滕晓龙 来源:TechTarget中国 英文

PaaS安全   云安全   

【TechTarget中国原创】

与陌生人共享内存和磁盘空间,让软件来强化安全性——还有什么可能会出错呢?虽然安全专业人士正在不断地考虑这些问题,但是当在平台即服务与云安全这个环境中进行考虑时它们之间的相关性变得更高了。云继续吸引大量人气并受到多次审查,这使得现在成为了检查PaaS安全性的一次良机。

虚拟机管理程序仍然是攻击云(包括PaaS和IaaS)最直接和最有效的载体。所以,黑客们仍然致力于破解管理程序或劫持之。把攻击矛头针对管理程序的原因是云计算中的虚拟机管理程序相当于通用操作系统中的root或admin。

就目前而言,一旦管理程序所使用的硬件和固件被破解,那么攻击者不仅能够轻松地对它们进行访问,而且检查问题的能力也变得更加困难。一个被破解的管理程序是很难被检查出的,其部分原因是在这一层缺乏可用的监控软件。这里有一个更明显的检测问题,能够破解管理程序的黑客自然也能够轻松地禁用日志记录以及其他监控服务,或者更糟糕的是,它会向监控系统发送虚假信息。

在平台即服务(PaaS)中所使用的虚拟环境需要防御针对物理和虚拟环境的攻击。针对物理环境中诸多库的标准漏洞在虚拟环境中仍然可被攻击者利用。毕竟,虚拟环境只是物理环境的另一个简单实例。此外,诸如专为虚拟环境而开发的恶意软件这样的漏洞也是一个不幸的事实存在,正如2012年那次事件中所表现的那样。

在PaaS环境的下层中另外受到关注的是存储器映射。当虚拟环境被创建时,会分配若干内存和磁盘空间资源以供使用。程序员开发出向内存写数据的软件,而对象通常作为拆卸过程的一部分被释放,这是不能得到保证的。如果一个被正确部署的持久对象被部署在正确的存储器位置上,那么这个持久对象就可以充当排序的rootkit,并且可以在每一个实例中持续影响环境。

跨租户黑客则是另一个带来安全性问题的来源。其中,配置错误在PaaS安全问题中占据了很大一部分比例。错误配置可能会无意中通过跨租户黑客或授权用户权限提升而造成数据丢失。

虽然我们对于hyperjacking攻击还是束手无策,但是还是有些步骤可以帮助我们最大限度降低或至少量化这些以及其他PaaS攻击所造成的损害。当在PaaS云环境中运行时,还是可以使用一些简单规则的。虽然这些规则不是针对每一个攻击载体的,但是它们至少能够让风险是易于管理的。

PaaS安全规则1:为数据分配数值。在进入云之前,甚至在与供应商达成协议之前,应确定用户将在云存储数据的数值。简单来说,就是一些数据并不适合做共享环境中存储。即便数据已经过加密处理,这一点依然适用,因为当进行密钥交换时,一些攻击载体表现为中间人(MITM)攻击。还要考虑其他数据的数值,例如通常不会考虑雇员数据。

PaaS安全规则2: 对数据进行加密处理。虽然加密处理不能保证安全性,但是它确实能够保证隐私性。但请记住,所部署的机制确实限制了访问。对那些针对管理程序的攻击进行识别能够抵消通过MITM攻击的这种控制。原因可参考规则1。

PaaS安全规则3:强制执行最小权限规则。所有的用户都应被授予确保系统正常运行的最低权限。这是重复的,因为在历史上当软件开发人员在进行内部软件开发时,开发人员已经被授予在隔离主机上的特权访问。当云模式创建和销毁一个临时环境时,发生错误、出现漏洞以及创建永久对象的潜力都为限制访问提供了足够的理由。未能确保隔离将导致用户需要理解规则1。

PaaS安全规则4: 阅读、理解SLA并与供应商讨价还价。服务水平协议(SLA)的内容范畴超出了可用性和性能,它直接与数据数值相关。如果数据丢失或受损,那么SLA规定了具体的赔偿条款。为了进一步提高SLA的有效性,云服务供应商(CSP)必须拥有足够的资产来支付与规则1中数据相关的支出。

云服务供应商们必须证明他们已经对云环境的安全性进行了尽职尽责的检查。问题是安全性审查没有办法检查出复杂的零日漏洞攻击;相反,审查只会检查出已知漏洞。如果用户的站点安全性状态比CSP的更严格,那么可再次考虑规则1。

了解用户的特定威胁环境可以为企业提供在云使用上一般决策的必要周边条件,尤其是PaaS安全性。在某些情况下,迁移至云可为企业用户提供一个保持或者甚至提高企业安全态势的机会。在其他情况下,云迁移会带来新的问题。无论是哪种情况,首先确定数据的数值并使用这一信息将有助于确定前进方向。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

软件即服务与云计算>更多

  • 云策略如何与客户业务目标相匹配?

    然而,组织已经开始思考,并且将简单的工作负载转移到云上,来衡量应该卸载哪种系统,他们面临着将技术与业务策略相匹配的挑战。

  • PaaS安全:降低企业风险的四条规则

    虽然安全专业人士正在不断地考虑这些问题,但是当在平台即服务与云安全这个环境中进行考虑时它们之间的相关性变得更高了。

  • 云访问安全代理:如何才能买得安心

    随着过去几年云服务采纳的爆炸式增长,组织机构开始意识到一个令人不安的现实,即他们不知道自己不知道什么。数据在云中的存储和访问,组织既不可见也无法控制,而云提供商环境中的安全功能要达到企业本地的安全控制标准一直以来都进展缓慢。

  • 持续交付工具领域:DevOps越出SaaS界线

    主要作为软件即服务(SaaS)提供的DevOps工具在本月开始向用户提供了新的部署方式,视图吸引开始流水线化开发流程、但可能并不会将服务部署到公有云上的大型企业。

相关推荐

  • Cisco CloudCenter Orchestrator漏洞如何工作?

    业界有一个关键的安全公告,是 针对Cisco CloudCenter Orchestrator中的一个漏洞,该漏洞导致Docker Engine管理端口可以在Cloud Orchestrator系统之外访问。

  • 如何发现和预防man-in-the-cloud攻击

    多年来,越来越多的信息已经转移到并存储在许多云平台中。Dropbox,Microsoft OneDrive和Google Drive等服务让这样的过程变得很容易。

  • 看“风水反转”技术如何危害云安全

    在安全领域中的相关专业人员都应该知道的是,当后果和影响足够严重时, 比较有利的一种做法就是将当前环境保持在趋势模型中相对不会发生的场景中。

  • 数据中心副本策略:向左走还是向右走?

    安全威胁是无可避免的,网络犯罪随时可能发生;在这种情况下,容灾备份、设置副本是必要手段,我们无法做出全面预防,但我们可以做到完全的恢复,只要我们有副本。

技术手册>更多

  • 印象Docker

    几年前Docker容器技术一夕之间火遍整个IT界,不论是谷歌、亚马逊还是微软都纷纷加入Docker的阵营中,Docker容器技术已然成为IT业界的一个新风向标。事实上,容器技术并非新兴技术,那么,在新技术让开发人员眼花缭乱的今天,是什么原因让Docker容器技术在IT舞台上大放异彩?

  • 开源云平台OpenStack电子书

    OpenStack风头正劲,大名鼎鼎的厂商,如VMware、红帽、IBM都加入其麾下,Rackspace、思科、戴尔和惠普对这个项目的贡献超过1000万美金。从产业角度来看,第三方的大力支持足以证明OpenStack获得了足够的吸引力,但是最基本的平台问题还是有待解决。在这本电子书中我们将详细介绍OpenStack的三载风雨路,以及其在存储、网络等方面的进展。

  • 2010年最具价值的技巧指导

    2010年,云在大家心中留下了怎样的印象?用户开始关心并讨论云,开始思考云的好与不好。对此,TechTarget云计算网站特别总结2010年最具价值的技巧指导与大家分享。

  • 云计算提供商OpenFlow指南

    软件定义网络(SDN)以及其最清晰可见的协议OpenFlow已经引发了热烈的讨论。几乎每一个主要的路由器和以太网交换机厂商都宣布“支持”OpenFlow,引出了数个会议的召开和初创公司的成立。作为主要的云运营商,比如谷歌和威瑞森(Verizon)已经测试和部署OpenFlow,其他的网络运营商和提供商急于知道在所有的兴奋点之下,是否有实体产生,尤其是这个实体有哪些本质的好处。在《云计算提供商OpenFlow指南》中,我们将简要介绍OpenFlow与SDN的关系,以及OpenFlow与云计算的关系,同时提供一些OpenFlow云提供商。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心