色婷婷国产精品免费网站_av在线官网_色综合色综合_欧美精品一区二区三区蜜桃视频_成人免费视频观看视频_国产午夜精品一区二区三区视频

17站長(zhǎng)網(wǎng)

17站長(zhǎng)網(wǎng) 首頁 安全 安全設(shè)置 查看內(nèi)容

實(shí)現(xiàn)云計(jì)算平臺(tái)即服務(wù)PaaS安全性的五步(圖文)

2022-9-24 16:12| 查看: 2318 |來源: 互聯(lián)網(wǎng)

當(dāng)談及安全性和云計(jì)算模型時(shí),平臺(tái)即服務(wù)(PaaS)有著它自己特殊的挑戰(zhàn)。與其他的云計(jì)算模型不同,PaaS安全性所要求的應(yīng)用程序安全性專業(yè)知識(shí)往往是大多數(shù)公司無法投入巨資就能夠擁有的。這個(gè)問題很復(fù)雜,因?yàn)楸姸喙?/div>
當(dāng)談及安全性和云計(jì)算模型時(shí),平臺(tái)即服務(wù)(PaaS)有著它自己特殊的挑戰(zhàn)。與其他的云計(jì)算模型不同,PaaS安全性所要求的應(yīng)用程序安全性專業(yè)知識(shí)往往是大多數(shù)公司無法投入巨資就能夠擁有的。這個(gè)問題很復(fù)雜,因?yàn)楸姸喙径际褂谩斑M(jìn)駐式”基礎(chǔ)設(shè)施級(jí)安全控制戰(zhàn)略作為應(yīng)用程序級(jí)安全性風(fēng)險(xiǎn)的應(yīng)對(duì)措施(例如,一旦應(yīng)用程序代碼發(fā)布生產(chǎn),使用WAF以緩解所發(fā)現(xiàn)的跨網(wǎng)站腳本程序或其他前端問題)。由于缺乏對(duì)PaaS中底層基礎(chǔ)設(shè)施的控制,這一戰(zhàn)略在PaaS部署應(yīng)用中變得不具實(shí)際操作性。
考慮到PaaS與控制相關(guān)的靈活性,你必須對(duì)底層計(jì)算環(huán)境具有一定的控制能力。如同IaaS一樣,PaaS提供了近乎無限的設(shè)計(jì)靈活性:你可以基于社交網(wǎng)站構(gòu)建任何應(yīng)用,以實(shí)現(xiàn)內(nèi)聯(lián)網(wǎng)網(wǎng)站或CRM應(yīng)用程序。但是,與IaaS不同的是,應(yīng)用程序下的“堆棧”是不透明的,這就意味著支持應(yīng)用程序的組件和基礎(chǔ)設(shè)施都是(根據(jù)設(shè)計(jì))一個(gè)“黑盒”。也就是說,與SaaS類似,安全性控制必須內(nèi)置于應(yīng)用程序本身中;但與SaaS中服務(wù)供應(yīng)商通常實(shí)施應(yīng)用于所有客戶的應(yīng)用程序級(jí)安全控制不同的是,在IaaS中安全控制措施是針對(duì)你的應(yīng)用程序的。這就意味著必須由你自己承擔(dān)責(zé)任以確定那些控制措施是合適的并執(zhí)行具體的實(shí)施。
這里的一個(gè)簡(jiǎn)單圖示,表明了模型與客戶之間的差異:
模型與客戶之間的差異性
  • 應(yīng)用程序設(shè)計(jì)靈活性
  • 功能控制比

  • 底層透明度   
  • 對(duì)于那些在應(yīng)用程序安全方面已投入巨資的組織來說,他們擁有固定滿編訓(xùn)練有素的開發(fā)人員,獨(dú)立的開發(fā)、測(cè)試以及生產(chǎn)流程,所以應(yīng)對(duì)PaaS安全性問題應(yīng)該是駕輕就熟的。而那些還未作出這些投資的機(jī)構(gòu)可以遵循如下步驟,從而在一定程度上有助于應(yīng)對(duì)PaaS安全性的挑戰(zhàn)。

  • 步驟一:建立安全措施
    應(yīng)用程序安全性的根本挑戰(zhàn)遠(yuǎn)在PaaS實(shí)施前就已經(jīng)存在。因此,對(duì)于如何完善生產(chǎn)安全、魯棒的應(yīng)用程序的部署措施已有相當(dāng)?shù)难芯俊S幸粋(gè)可提供直接支持的技術(shù)被稱為應(yīng)用程序威脅建模。一些很好的著力點(diǎn)是OWASP威脅建模頁以及微軟公司的安全性開發(fā)生命周期資源頁。從工具的角度來看,是免費(fèi)跨網(wǎng)站腳本(XSS)和SQL注入。擁有內(nèi)部工具的企業(yè)可以將其應(yīng)用于PaaS的安全性措施,或者眾多PaaS供應(yīng)商為客戶以免費(fèi)或打折的價(jià)格提供了具有類似功能的工具。而當(dāng)企業(yè)希望使用一個(gè)更為廣泛的掃描策略時(shí),他們還可以使用諸如Google公司的skipfish這樣的免費(fèi)工具。
    步驟二:掃描網(wǎng)絡(luò)應(yīng)用程序
    眾多公司已經(jīng)接受了應(yīng)用程序掃描,這是一個(gè)用于解決通用安全問題(例如跨平臺(tái)腳本(XSS)和SQL導(dǎo)入)的網(wǎng)絡(luò)應(yīng)用程序掃描工具。擁有內(nèi)部工具的企業(yè)可以將其應(yīng)用于PaaS安全性措施,或者眾多PaaS供應(yīng)商為客戶以免費(fèi)或打折的價(jià)格提供了類似功能的工具。而當(dāng)企業(yè)希望使用一個(gè)更為廣泛的掃描策略時(shí),他們還可以使用諸如Google公司的skipfish這樣的免費(fèi)工具。
    步驟三:培訓(xùn)開發(fā)人員
    應(yīng)用程序開發(fā)人員完全通盤精通應(yīng)用程序安全性原則是非常關(guān)鍵的。這可以包括語言級(jí)培訓(xùn)(即他們目前用于構(gòu)建應(yīng)用程序所使用語言中的安全編碼原則)以及更廣泛的議題,如安全性設(shè)計(jì)原則等。由于開發(fā)人員的減員和流動(dòng)性等原因,這往往要求培訓(xùn)必須定期重復(fù)并作為常態(tài)保持下去,所以開發(fā)人員應(yīng)用程序的安全性培訓(xùn)成本可能是較為昂貴的。幸運(yùn)的是,還有一些免費(fèi)的資源,例如Texas A&M/FEMA國(guó)內(nèi)防備校園計(jì)劃提供了一些安全性軟件開發(fā)的免費(fèi)電子學(xué)習(xí)資料。微軟公司也通過其Clinic 2806提供了免費(fèi)培訓(xùn):微軟開發(fā)人員安全性知道培訓(xùn),這是一個(gè)開始你自己定制程序有用的入門級(jí)培訓(xùn)材料。
    步驟四:擁有專用的測(cè)試數(shù)據(jù)
    這樣的情況總是在不斷發(fā)生中的:開發(fā)人員使用生產(chǎn)數(shù)據(jù)進(jìn)行測(cè)試。這是一個(gè)需要正確認(rèn)識(shí)的問題,因?yàn)闄C(jī)密數(shù)據(jù)(例如客戶私人可辨識(shí)的數(shù)據(jù))可能在測(cè)試過程中泄漏,特別是在開發(fā)或試運(yùn)行環(huán)境中并沒有執(zhí)行與生產(chǎn)環(huán)境相同的安全措施時(shí)。PaaS的環(huán)境敏感性更甚,而眾多PaaS服務(wù)更易于實(shí)現(xiàn)部署、試運(yùn)行以及生產(chǎn)之間的數(shù)據(jù)庫共享以簡(jiǎn)化部署。如開源Databene Benerator之類的工具可以產(chǎn)生符合你數(shù)據(jù)庫特定結(jié)構(gòu)的高容量數(shù)據(jù),而數(shù)據(jù)格式調(diào)整有助于擁有專用的生產(chǎn)數(shù)據(jù)。通常,這些處理是屬于特定框架的,因此你需要留意找出一個(gè)能夠在你的特定環(huán)境中正常工作的。
    步驟五:重新調(diào)整優(yōu)先級(jí)
    這最后一個(gè)步驟是你可以實(shí)施的最重要的一個(gè)步驟。既然PaaS可能意味著一種文化和優(yōu)先級(jí)的調(diào)整,那么相應(yīng)地接受這一調(diào)整并將其真正納入自己的思想行為體系中。使用PaaS,所有都是與應(yīng)用程序相關(guān);這意味著組織的安全性將高度依賴于組織中的開發(fā)團(tuán)隊(duì)。如果這不是PaaS的問題,那么這將會(huì)是一場(chǎng)噩夢(mèng)了,因?yàn)樵诨A(chǔ)設(shè)施級(jí)你無法實(shí)施多少措施以緩解已識(shí)別的風(fēng)險(xiǎn)。如果你一直以來都是依賴于基礎(chǔ)設(shè)施級(jí)的控制以滿足在應(yīng)用程序級(jí)的安全挑戰(zhàn),現(xiàn)在是時(shí)候重新考慮

    作者:Ed Moyle   譯者:滕曉龍   來源:TechTarget中國(guó)
本文最后更新于 2022-9-24 16:12,某些文章具有時(shí)效性,若有錯(cuò)誤或已失效,請(qǐng)?jiān)诰W(wǎng)站留言或聯(lián)系站長(zhǎng):17tui@17tui.com
·END·
站長(zhǎng)網(wǎng)微信號(hào):w17tui,關(guān)注站長(zhǎng)、創(chuàng)業(yè)、關(guān)注互聯(lián)網(wǎng)人 - 互聯(lián)網(wǎng)創(chuàng)業(yè)者營(yíng)銷服務(wù)中心

免責(zé)聲明:本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集,旨在傳播知識(shí),文章和圖片版權(quán)歸原作者及原出處所有,僅供學(xué)習(xí)與參考,請(qǐng)勿用于商業(yè)用途,如果損害了您的權(quán)利,請(qǐng)聯(lián)系我們及時(shí)修正或刪除。謝謝!

17站長(zhǎng)網(wǎng)微信二維碼

始終以前瞻性的眼光聚焦站長(zhǎng)、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域,為您提供最新最全的互聯(lián)網(wǎng)資訊,幫助站長(zhǎng)轉(zhuǎn)型升級(jí),為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營(yíng)銷服務(wù),與站長(zhǎng)一起進(jìn)步!讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨(dú)!

掃一掃,關(guān)注站長(zhǎng)網(wǎng)微信

大家都在看

    熱門排行

      最近更新

        返回頂部
        主站蜘蛛池模板: 亚洲成人精品一区 | 国产一区不卡 | 亚洲综合三区 | 日韩一区二区在线播放 | 玖玖伊人| 国产天堂在线 | 久久久久国产视频 | 日本黄网站 | 国产精品视屏 | 在线成人小视频 | 在线成人小视频 | 在线不卡av| 国产黄色片视频 | 黄色免费av | 欧美精品在线播放 | 性做久久久久久 | 黄色福利视频 | 免费黄色网址在线观看 | 日韩精品毛片 | 欧美日韩中文在线 | 欧美日韩亚洲一区二区三区 | 国产精品国产三级国产专区53 | 红桃av在线 | 欧美日韩国产在线 | 超碰成人av| 国产精品成人免费视频 | 91成人精品一区在线播放 | 69福利视频 | 在线观看视频一区 | 久久精品视 | 在线观看欧美日韩 | 在线一区视频 | 男人天堂亚洲 | 欧美成人综合 | 蜜桃av一区| 日韩精品久久久久久 | 国产三级做爰高清在线 | 一区二区久久久 | 青青草国产成人av片免费 | 五月婷婷综合网 | 亚洲国产一区在线 |