借助四个防御阶段,保护PaaS免受黑客攻击

时间:14-12-20 栏目:云安全 作者:爱说云网 评论:0 点击: 1,790 次

平台即服务(PaaS)天生存在会被黑客钻空子的安全漏洞。为了缓解这个风险,你应该考虑采用深层防御(defense-in-depth)方法。这种方法让你可以建立多层防御机制,以便在黑客与攻击目标之间设置重重障碍。

你不能单单依赖一种安全机制来阻止黑客――其实需要多层其他机制来保护PaaS,远离不同类型的攻击。你应该借助提供更强大障碍的其他机制,弥补某一种机制的天生弱点。

深层防御方法

传统的深层防御技术适用于全面控制其IT基础设施(包括物理服务器和网络)的公司。至于PaaS深层防御,你只能享有PaaS提供商赋予你的控制权。

PaaS提供商让开发人员可以在PaaS上构建、测试、部署且运行软件即服务(SaaS)应用程序。开发人员可以改变在企业内部开发的应用程序的行为,让应用程序在PaaS上可以顺利运行,然后设置用户阈值水平,以便其团队成员能够并行使用PaaS。

开发人员可以使用笔记本电脑或移动设备,远程访问PaaS。PaaS提供商并不允许开发人员控制在PaaS上运行应用程序所需要的操作系统、物理服务器或网络基础设施。

PaaS深层防御生命周期的四个阶段

1. 资产识别阶段

想建立多层防御机制,识别资产是第一步。你需要将这些资产分为用户资产、云资产、数据资产、管理资产、软件资产、环境资产和硬件资产。

•用户资产包括:PaaS开发人员、测试人员、策略制定者,可能还有服务级别协议(SLA)经理。风险经理和PaaS操作员让团队结构显得很完整。

•云资产包括:PaaS提供商(比如微软Azure)以及PaaS运行在其中的基础设施即服务(IaaS)的类型。IaaS可能是专有的,也可能是开源的。

•数据资产包括:数据敏感性(非机密数据和机密数据)、人员、业务交易及与PaaS直接有关的其他日常操作。

•管理资产包括:说明文档、用户参考手册、库存记录和操作规程。这类资产还包括:生命周期规程、灾难恢复方案、用户许可证、标准以及与其他有关方有关的SLA图。

•软件资产包括:应用程序、测试工具和日志选项列表。

•环境资产涉及环境系统、大楼、备份设施、空调、采暖和供水系统。你在使用PaaS时需要处于一个舒适区。

•硬件资产包括:公司发放或公司批准的可远程访问PaaS的个人笔记本电脑和移动设备。这类资产并不包括物理服务器和网络的底层的IaaS基础设施。

2. 对手识别阶段

下一步是识别哪些可能是你的对手。可能面临的对手包括:个人、恐怖组织和国家。对手有可能:

•悄无声息地被动监控PaaS开发人员、测试人员、策略制定者和业务分析师之间的联系;

•利用社会工程学伎俩,窃取或访问PaaS硬件资产;

•对云资源发送大量的过剩数据包,导致对PaaS发动拒绝服务攻击;

•将恶意软件恶意植入PaaS故障切换算法;以及

•直接攻击用来控制PaaS网络流量的软件定义网络(SDN)控制器。

3. 防御层次阶段

你需要设置障碍,以赶跑对手。下面是设置每一层防御的要点。

针对被动攻击,

•第一道防线是让流量先通过PaaS里面的安全防火墙。

•第二道防线是PaaS访问控制机制。

针对内部攻击,

•第一道防线是PaaS物理安全和人员安全;

•第二道防线是PaaS访问控制机制。

针对邻近攻击,

•第一道防线是物理安全和人员安全;

•第二道防线是反技术侦察措施。

针对分发攻击,

•第一道防线是可信的开发和应用程序部署。

•第二道防线是完整性和机密性控制机制。

针对主动攻击,

•第一道防线是部署嵌套式防火墙、反病毒软件和入侵检测工具。

•第二道防线是PaaS用户身份验证控制措施和故障切换机制。

4.评审阶段

你应该定期评审深层防御,因为可能会出现新的攻击类型,需要部署更多的防线。另外,市面上可能会出现更经济高效的技术,它们可能会改变防线的次序(比如由第二道防线变成第一道防线)。最后,用户在需要设置哪些障碍来阻碍对手方面的认识也会有所变化。

结束语

想保护PaaS,设置层层防御是最稳妥的做法。一种安全机制的天生弱点可以借助其他机制为对手设置更有效的障碍这一优点来克服。

相关文章

中国企业为何青睐甲骨文HCM云服务
views 1676
现代企业的HR工作早已突破了传统的招聘、薪酬及人事管理等范畴。HR需要从传统的桎梏中解脱出来,开始思考利用先进的IT技术实现人力资本的现代化管理,获取人力资本市场的最新洞察,提升员工体验,构筑企业未来发展的人才力量。如何快速适应新市场的人才管理模式?如何在企业内部实现一致性?如何平衡多元化人才队伍的...
物联网是什么
views 2120
 物联网是新一代信息技术的重要组成部分,其英文名称是:“The Internet of things”。顾名思义,物联网就是物物相连的互联网。这有两层意思:其一,物联网的核心和基础仍然是互联网,是在互联网基础上的延伸和扩展的网络;其二,其用户端延伸和扩展到了任何物品与物品之间,进行信息交换和通...
2015年十大IT趋势: 云计算物联网占榜首...
views 1831
据国外媒体报道,市场研究公司Gartner的IT专家团队近日公布了2015年十大IT趋势预测,其中包括云计算无处不在、物联网、3D打印等等。 Gartner认为,这些策略性科技趋势可能会在未来3年对企业产生重大影响。以下是它们的摘要: 1. 云计算无处不在 Gartner估计,随着智能手机技术...
中小企业信息化建设中存在的主要问题...
views 1640
中小企业信息化建设中存在的主要问题有:   观念问题, 许多企业家认为以现有经营方式、管理方式,企业已经获得了蓬勃发展,不必要赶时髦主追求信息化,而且未必会带来好处,还有的企业管理者认为信息化建设就是买几台计算机,进行一下简单操作,根本没有认识到信息化建设是一项系统工程,是非常复杂的...
警惕云计算技术的另一方面
views 1537
云计算的分散 二十世纪最为惊人的成就之一便是计算能力的飞速扩散(而且这一傲人的成绩还一直持续到了二十一世纪),这几乎可以使任何人想要拥有计算能力的人成为“专业人士”.现在,几乎每个人都能进行图像和视频处理、发表作品、以及执行复杂的数学计算。 在现如今我们的社会越来越多的使用移动设备的情况下,消费...
1元带来的16块效应 微软合作伙伴转型云计算...
views 1732
今年,微软的一系列公有云服务正式落地中国,由世纪互联运营的Windows Azure、Office 365服务相继正式商用,而微软也正在推进着自己的转型之路。所有的业务发展都离不开生态系统中各环节的通力配合,在本地建立核心的生态伙伴变得尤为重要,在微软向云计算、移动等领域转型的过程中,微软的合作...
浅淡私有云存储:高效、可靠、安全的存储池...
views 1933
由于众多客户部署技术的模式由内部部署转为外部部署,亚马逊、谷歌和微软等大公司纷纷投入巨资,构建公有云存储解决方案。 云存储服务可以节省成本,因为用户没必要购买及管理自己的基础设施。它还让用户可以提高灵活性,减少存储容量。 但公有云存储并不适合所有类型的数据;出于安全、法律或合规方面的原因,许多企...
物联网将成为“威胁连网”?
views 1630
 随着 2015新年的来临,网路安全方案供应商 Fortinet 及其 FortiGuard Labs 安全防护中心,率先评估即将到来的新年会有那些显着的网路安全威胁--分别从黑帽骇客,以及威胁情报解决方案厂商的角度来预估。   Fortinet 认为,由于连网设备的增加,网路罪犯将会持续磨练实力...

声明: 本文由( 爱说云网 )原创编译,转载请保留链接: 借助四个防御阶段,保护PaaS免受黑客攻击

借助四个防御阶段,保护PaaS免受黑客攻击:等您坐沙发呢!

发表评论


读者排行