PaaS安全降低企業風險的四條規則

與陌生人共享記憶體和磁碟空間，讓軟體來強化安全性——還有什麼可能會出錯呢?雖然安全專業人士正在不斷地考慮這些問題，但是當在平台即服務與雲安全這個環境中進行考慮時它們之間的相關性變得更高了。雲繼續吸引大量人氣並受到多次審查，這使得現在成為了檢查paas安全性的一次良機。

虛擬機器管理程式仍然是攻擊雲(包括paas和iaas)最直接和最有效的載體。所以，黑客們仍然致力於破解管理程式或劫持之。把攻擊矛頭針對管理程式的原因是雲計算中的虛擬機器管理程式相當於通用作業系統中的root或admin。

就目前而言，一旦管理程式所使用的硬體和韌體被破解，那麼攻擊者不僅能夠輕鬆地對它們進行訪問，而且檢查問題的能力也變得更加困難。乙個被破解的管理程式是很難被檢查出的，其部分原因是在這一層缺乏可用的監控軟體。這裡有乙個更明顯的檢測問題，能夠破解管理程式的黑客自然也能夠輕鬆地禁用日誌記錄以及其他監控服務，或者更糟糕的是，它會向監控系統傳送虛假資訊。

在平台即服務(paas)中所使用的虛擬環境需要防禦針對物理和虛擬環境的攻擊。針對物理環境中諸多庫的標準漏洞在虛擬環境中仍然可被攻擊者利用。畢竟，虛擬環境只是物理環境的另乙個簡單例項。此外，諸如專為虛擬環境而開發的惡意軟體這樣的漏洞也是乙個不幸的事實存在，正如2023年那次事件中所表現的那樣。

在paas環境的下層中另外受到關注的是儲存器對映。當虛擬環境被建立時，會分配若干記憶體和磁碟空間資源以供使用。程式設計師開發出向記憶體寫資料的軟體，而物件通常作為拆卸過程的一部分被釋放，這是不能得到保證的。如果乙個被正確部署的持久物件被部署在正確的儲存器位置上，那麼這個持久物件就可以充當排序的rootkit，並且可以在每乙個例項中持續影響環境。

跨租戶黑客則是另乙個帶來安全性問題的**。其中，配置錯誤在paas安全問題中佔據了很大一部分比例。錯誤配置可能會無意中通過跨租戶黑客或授權使用者許可權提公升而造成資料丟失。

雖然我們對於hyperjacking攻擊還是束手無策，但是還是有些步驟可以幫助我們最大限度降低或至少量化這些以及其他paas攻擊所造成的損害。當在paas雲環境中執行時，還是可以使用一些簡單規則的。雖然這些規則不是針對每乙個攻擊載體的，但是它們至少能夠讓風險是易於管理的。

paas安全規則1：為資料分配數值。在進入雲之前，甚至在與**商達成協議之前，應確定使用者將在雲儲存資料的數值。簡單來說，就是一些資料並不適合做共享環境中儲存。即便資料已經過加密處理，這一點依然適用，因為當進行金鑰交換時，一些攻擊載體表現為中間人(mitm)攻擊。還要考慮其他資料的數值，例如通常不會考慮雇員資料。

paas安全規則2: 對資料進行加密處理。雖然加密處理不能保證安全性，但是它確實能夠保證私隱性。但請記住，所部署的機制確實限制了訪問。對那些針對管理程式的攻擊進行識別能夠抵消通過mitm攻擊的這種控制。原因可參考規則1。

paas安全規則3：強制執行最小許可權規則。所有的使用者都應被授予確保系統正常執行的最低許可權。這是重複的，因為在歷史上當軟體開發人員在進行內部軟體開發時，開發人員已經被授予在隔離主機上的特權訪問。當雲模式建立和銷毀乙個臨時環境時，發生錯誤、出現漏洞以及建立永久物件的潛力都為限制訪問提供了足夠的理由。未能確保隔離將導致使用者需要理解規則1。

paas安全規則4: 閱讀、理解sla並與**商討價還價。服務水平協議(sla)的內容範疇超出了可用性和效能，它直接與資料數值相關。如果資料丟失或受損，那麼sla規定了具體的賠償條款。為了進一步提高sla的有效性，雲服務**商(csp)必須擁有足夠的資產來支付與規則1中資料相關的支出。

雲服務**商們必須證明他們已經對雲環境的安全性進行了盡職盡責的檢查。問題是安全性審查沒有辦法檢查出複雜的零日漏洞攻擊;相反，審查只會檢查出已知漏洞。如果使用者的站點安全性狀態比csp的更嚴格，那麼可再次考慮規則1。

了解使用者的特定威脅環境可以為企業提供在雲使用上一般決策的必要周邊條件，尤其是paas安全性。在某些情況下，遷移至雲可為企業使用者提供乙個保持或者甚至提高企業安全態勢的機會。在其他情況下，雲遷移會帶來新的問題。無論是哪種情況，首先確定資料的數值並使用這一資訊將有助於確定前進方向。

PaaS安全降低企業風險的四條規則

企業選擇CRM的四條軍規

PHP語言編寫的四條指南

企業構建雲計算，主要有哪四條路徑

PaaS安全 降低企業風險的四條規則

企業選擇CRM的四條軍規

PHP語言編寫的四條指南

企業構建雲計算，主要有哪四條路徑

相關推薦

PaaS安全降低企業風險的四條規則