PaaS安全:降低企业风险的四条规则

日期:2016-10-27作者:Char Sample翻译:滕晓龙 来源:TechTarget中国 英文

PaaS安全   云安全   

【TechTarget中国原创】

与陌生人共享内存和磁盘空间,让软件来强化安全性——还有什么可能会出错呢?虽然安全专业人士正在不断地考虑这些问题,但是当在平台即服务与云安全这个环境中进行考虑时它们之间的相关性变得更高了。云继续吸引大量人气并受到多次审查,这使得现在成为了检查PaaS安全性的一次良机。

虚拟机管理程序仍然是攻击云(包括PaaS和IaaS)最直接和最有效的载体。所以,黑客们仍然致力于破解管理程序或劫持之。把攻击矛头针对管理程序的原因是云计算中的虚拟机管理程序相当于通用操作系统中的root或admin。

就目前而言,一旦管理程序所使用的硬件和固件被破解,那么攻击者不仅能够轻松地对它们进行访问,而且检查问题的能力也变得更加困难。一个被破解的管理程序是很难被检查出的,其部分原因是在这一层缺乏可用的监控软件。这里有一个更明显的检测问题,能够破解管理程序的黑客自然也能够轻松地禁用日志记录以及其他监控服务,或者更糟糕的是,它会向监控系统发送虚假信息。

在平台即服务(PaaS)中所使用的虚拟环境需要防御针对物理和虚拟环境的攻击。针对物理环境中诸多库的标准漏洞在虚拟环境中仍然可被攻击者利用。毕竟,虚拟环境只是物理环境的另一个简单实例。此外,诸如专为虚拟环境而开发的恶意软件这样的漏洞也是一个不幸的事实存在,正如2012年那次事件中所表现的那样。

在PaaS环境的下层中另外受到关注的是存储器映射。当虚拟环境被创建时,会分配若干内存和磁盘空间资源以供使用。程序员开发出向内存写数据的软件,而对象通常作为拆卸过程的一部分被释放,这是不能得到保证的。如果一个被正确部署的持久对象被部署在正确的存储器位置上,那么这个持久对象就可以充当排序的rootkit,并且可以在每一个实例中持续影响环境。

跨租户黑客则是另一个带来安全性问题的来源。其中,配置错误在PaaS安全问题中占据了很大一部分比例。错误配置可能会无意中通过跨租户黑客或授权用户权限提升而造成数据丢失。

虽然我们对于hyperjacking攻击还是束手无策,但是还是有些步骤可以帮助我们最大限度降低或至少量化这些以及其他PaaS攻击所造成的损害。当在PaaS云环境中运行时,还是可以使用一些简单规则的。虽然这些规则不是针对每一个攻击载体的,但是它们至少能够让风险是易于管理的。

PaaS安全规则1:为数据分配数值。在进入云之前,甚至在与供应商达成协议之前,应确定用户将在云存储数据的数值。简单来说,就是一些数据并不适合做共享环境中存储。即便数据已经过加密处理,这一点依然适用,因为当进行密钥交换时,一些攻击载体表现为中间人(MITM)攻击。还要考虑其他数据的数值,例如通常不会考虑雇员数据。

PaaS安全规则2: 对数据进行加密处理。虽然加密处理不能保证安全性,但是它确实能够保证隐私性。但请记住,所部署的机制确实限制了访问。对那些针对管理程序的攻击进行识别能够抵消通过MITM攻击的这种控制。原因可参考规则1。

PaaS安全规则3:强制执行最小权限规则。所有的用户都应被授予确保系统正常运行的最低权限。这是重复的,因为在历史上当软件开发人员在进行内部软件开发时,开发人员已经被授予在隔离主机上的特权访问。当云模式创建和销毁一个临时环境时,发生错误、出现漏洞以及创建永久对象的潜力都为限制访问提供了足够的理由。未能确保隔离将导致用户需要理解规则1。

PaaS安全规则4: 阅读、理解SLA并与供应商讨价还价。服务水平协议(SLA)的内容范畴超出了可用性和性能,它直接与数据数值相关。如果数据丢失或受损,那么SLA规定了具体的赔偿条款。为了进一步提高SLA的有效性,云服务供应商(CSP)必须拥有足够的资产来支付与规则1中数据相关的支出。

云服务供应商们必须证明他们已经对云环境的安全性进行了尽职尽责的检查。问题是安全性审查没有办法检查出复杂的零日漏洞攻击;相反,审查只会检查出已知漏洞。如果用户的站点安全性状态比CSP的更严格,那么可再次考虑规则1。

了解用户的特定威胁环境可以为企业提供在云使用上一般决策的必要周边条件,尤其是PaaS安全性。在某些情况下,迁移至云可为企业用户提供一个保持或者甚至提高企业安全态势的机会。在其他情况下,云迁移会带来新的问题。无论是哪种情况,首先确定数据的数值并使用这一信息将有助于确定前进方向。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

软件即服务与云计算>更多

  • 云策略如何与客户业务目标相匹配?

    然而,组织已经开始思考,并且将简单的工作负载转移到云上,来衡量应该卸载哪种系统,他们面临着将技术与业务策略相匹配的挑战。

  • PaaS安全:降低企业风险的四条规则

    虽然安全专业人士正在不断地考虑这些问题,但是当在平台即服务与云安全这个环境中进行考虑时它们之间的相关性变得更高了。

  • 云访问安全代理:如何才能买得安心

    随着过去几年云服务采纳的爆炸式增长,组织机构开始意识到一个令人不安的现实,即他们不知道自己不知道什么。数据在云中的存储和访问,组织既不可见也无法控制,而云提供商环境中的安全功能要达到企业本地的安全控制标准一直以来都进展缓慢。

  • 持续交付工具领域:DevOps越出SaaS界线

    主要作为软件即服务(SaaS)提供的DevOps工具在本月开始向用户提供了新的部署方式,视图吸引开始流水线化开发流程、但可能并不会将服务部署到公有云上的大型企业。

相关推荐

  • 数据中心副本策略:向左走还是向右走?

    安全威胁是无可避免的,网络犯罪随时可能发生;在这种情况下,容灾备份、设置副本是必要手段,我们无法做出全面预防,但我们可以做到完全的恢复,只要我们有副本。

  • 初探云供应商责任共担模式,你认为靠谱吗?

    随着云计算应用的不断增长,对于数据保护和网络安全的责任共担模式概念也逐渐地深入人心。虽然责任共担模式并不是一个新的概念,但是安全责任共担本质已随着云而发生了变化。

  • 丢三落四:企业上云却忘记了云安全

    云迁移所带来的价值主张主要涉及速度、敏捷性、成本降低以及管理云迁移口中所说的更多安全控制措施。

  • 云迁移面临遗留安全工具挑战

    专为数据中心设计的传统安全工具是无法在云环境中正常运行的。根据安全管理人员的说法,这需要新的方法。本文讲述了企业该如何在夹缝中生存。

技术手册>更多

  • 云存储服务使用指导手册

    根据TechTarget最近的一项调查,我们发现受访者所在的企业中,目前有44%已经在数据保护和其他应用中使用云存储服务。大概在未来六个月中,这个数字还会继续增长,因为46%的受访者表示他们计划增加对于云数据存储服务的使用。

  • 开源云计算平台和产品教程

    在寻找开源云计算服务供应商时,拥有较强开发能力团体或特定业务应用的企业往往会习惯性地避开商业云计算服务供应商。但是有些问题依然存在,如开源云计算服务供应商如何体现其价值。谁将拔得头筹?Eucalyptus系统是否能够在与OpenStack的残酷竞争中胜出?OpenStack是否能够摆脱过分项目宣传的老套路,进而推出具有量产商业化性质的云计算产品?红帽公司是否能够进一步明确其模糊不清的云计算战略?那么诸如Abiquo之类的无关虚拟化管理程序公司又如何?谁将成为世人眼中的焦点,成为企业私有云计算实施计划中的宠儿?

  • 企业应用迁移到云中规划实践指南

    云计算迁移的一个最主要的好处就是成本优化。大部分的企业采用云计算技术的时候可以看到他们花费在IT上的一个性质的转换。那么企业应用向云中迁移过程中有哪些技巧呢?

  • 检阅云计算工具

    虽然市场上有着数以百计的云计算解决方案供应商,但是作为用户的我们应当如何雾里看花找到真正满足我们需求的云计算产品与供应商?对云计算供应商进行分类对于更好地了解诸如应用程序迁移、自动化与监控等关键领域的领先厂商似乎并无裨益。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心