五步应对云计算PaaS安全性挑战

当谈到安全性和云计算模型时，平台即服务(PaaS)具有它自己类似的挑战。与其他的云计算模型有所不同，PaaS安全性所拒绝的应用程序安全性专业知识往往是大多数公司无法投放巨资就需要享有的。这个问题很简单，因为众多公司都用于入驻式基础设施级安全控制战略作为应用程序级安全性风险的应付措施(例如，一旦应用于程序代码公布生产，用于WAF以减轻所找到的跨网站脚本程序或其他前端问题)。

由于缺少对PaaS中底层基础设施的掌控，这一战略在PaaS部署应用于中显得不具实际操作性。　　考虑到PaaS与掌控涉及的灵活性，你必需对底层计算环境具备一定的控制能力。如同IaaS一样，PaaS获取了几近无限的设计灵活性：你可以基于社交网站建构任何应用于，以构建内联网网站或CRM应用程序。

但是，与IaaS有所不同的是，应用程序下的堆栈是不半透明的，这就意味著反对应用程序的组件和基础设施都是(根据设计)一个黑盒。也就是说，与SaaS类似于，安全性掌控必需内置放应用程序本身中；但与SaaS中服务供应商一般来说实行应用于所有客户的应用程序级安全控制有所不同的是，在IaaS中安全控制措施是针对你的应用程序的。这就意味著必需由你自己承担责任以确认那些控制措施是适合的并继续执行明确的实行。

　　这里的一个非常简单图示，指出了模型与客户之间的差异：　　应用于程序设计灵活性　　功能掌控比　　底层透明度　　对于那些在应用程序安全性方面已投放巨资的的组织来说，他们享有相同满编训练有素的开发人员，独立国家的研发、测试以及生产流程，所以应付PaaS安全性问题应当是驾轻就熟的。而那些还并未做出这些投资的机构可以遵循如下步骤，从而在一定程度上有助应付PaaS安全性的挑战。　　步骤一：创建安全措施　　应用程序安全性的显然挑战远在PaaS实行前就早已不存在。

因此，对于如何完备生产安全性、鲁棒的应用程序的部署措施有数非常的研究。有一个可获取必要反对的技术被称作应用程序威胁建模。一些很好的着力点是OWASP威胁建模页以及微软公司的安全性研发生命周期资源页。从工具的角度来看，是免费横跨网站脚本(XSS)和SQL流经。

享有内部工具的企业可以将其应用于PaaS的安全性措施，或者众多PaaS供应商为客户邮购或折扣的价格获取了具备类似于功能的工具。而当企业期望用于一个更加普遍的扫瞄策略时，他们还可以用于诸如Google公司的skipfish这样的免费工具。

　　步骤二：扫瞄网络应用程序　　众多公司早已拒绝接受了应用程序扫瞄，这是一个用作解决问题标准化安全性问题(例如跨平台脚本(XSS)和SQL引入)的网络应用程序扫瞄工具。享有内部工具的企业可以将其应用于PaaS安全性措施，或者众多PaaS供应商为客户邮购或折扣的价格获取了类似于功能的工具。而当企业期望用于一个更加普遍的扫瞄策略时，他们还可以用于诸如Google公司的skipfish这样的免费工具。

　　步骤三：培训开发人员　　应用程序开发人员几乎通盘通晓应用程序安全性原则是十分关键的。这可以还包括语言级培训(即他们目前用作建构应用程序所用于语言中的安全性编码原则)以及更加普遍的议题，如安全性设计原则等。由于开发人员的折损和流动性等原因，这往往拒绝培训必需定期反复并作为常态维持下去，所以开发人员应用程序的安全性培训成本有可能是更为便宜的。

幸运地的是，还有一些免费的资源，例如TexasAM/FEMA国内牵制校园计划获取了一些安全性软件开发的免费电子自学资料。微软公司也通过其Clinic2806获取了免费培训：微软公司开发人员安全性告诉培训，这是一个开始你自己自定义程序简单的入门级培训材料。　　步骤四：享有专用的测试数据　　这样的情况总是在大大再次发生中的：开发人员用于生产数据展开测试。这是一个必须正确认识的问题，因为机密数据(例如客户私人可识别的数据)有可能在测试过程中外泄，特别是在研发或试运营环境中并没继续执行与生产环境完全相同的安全措施时。

PaaS的环境敏感性更加颇，而众多PaaS服务更加更容易构建部署、试运营以及生产之间的数据库分享以修改部署。如开源DatabeneBenerator之类的工具可以产生合乎你数据库特定结构的高容量数据，而数据格式调整有助享有专用的生产数据。一般来说，这些处置是归属于特定框架的，因此你必须注意找到一个需要在你的特定环境中长时间工作的。　　步骤五：新的调整优先级　　这最后一个步骤是你可以实行的最重要的一个步骤。

既然PaaS有可能意味著一种文化和优先级的调整，那么适当地拒绝接受这一调整并将其确实划入自己的思想不道德体系中。用于PaaS，所有都是与应用程序涉及;这意味著的组织的安全性将高度依赖的组织中的研发团队。

如果这不是PaaS的问题，那么这将不会是一场噩梦了，因为在基础设施级你无法实行多少措施以减轻已辨识的风险。如果你仍然以来都是依赖基础设施级的掌控以符合在应用程序级的安全性挑战，现在是时候重新考虑。

本文来源：yabo888亚博网站-www.dqhryoga.com