⚔️ Как защитить платформу как сервис (PaaS)? — Information Security Squad
⚔️ Как защитить платформу как сервис (PaaS)?
Вы используете PaaS для своих приложений, но не знаете, как их защитить?

Что такое PaaS?

Platform-as-a-Service (PaaS) это модель облачных вычислений, которая предоставляет платформу, на которой клиенты могут разрабатывать, защищать, запускать и управлять веб-приложениями.

Она обеспечивает оптимизированную среду, в которой различные группы могут разрабатывать и развертывать приложения, не покупая и не управляя базовой ИТ-инфраструктурой и сопутствующими услугами.

Как правило, платформа предоставляет необходимые ресурсы и инфраструктуру для поддержки полного жизненного цикла разработки и развертывания программного обеспечения, обеспечивая при этом разработчикам и пользователям доступ из любого места через Интернет.

Преимущества PaaS включают в себя, помимо прочего, простоту, удобство, меньшие затраты, гибкость и масштабируемость.

Обычно защита PaaS отличается от традиционного локального центра обработки данных, как мы увидим.

Среда PaaS опирается на модель общей безопасности.

Провайдер защищает инфраструктуру, а клиенты PaaS несут ответственность за защиту своих учетных записей, приложений и данных, размещенных на платформе.

В идеале безопасность переходит от локальной модели безопасности к периметру идентификации.

Это означает, что клиент PaaS должен уделять больше внимания идентификации в качестве основного периметра безопасности.

Вопросы, на которые следует обратить внимание, включают защиту, тестирование, код, данные и конфигурации, сотрудников, пользователей, аутентификацию, операции, мониторинг и журналы.

Для этого нужно многое сделать. Не так ли?

Не волнуйся; позвольте мне пошагово ввести вас в курс дела.

1 Защита приложений от распространенных и неожиданных атак

Одним из лучших подходов является развертывание решения для автоматической защиты в режиме реального времени с возможностью быстрого и автоматического обнаружения и блокирования любой атаки.

Клиенты PaaS могут использовать инструменты безопасности, предоставляемые на платформе, или поискать сторонние варианты, которые соответствуют их требованиям.

Идеальный инструмент должен обеспечивать защиту в режиме реального времени при автоматическом обнаружении и блокировании несанкционированного доступа, атак или нарушений.

Такого рода инструмент должен иметь возможность проверять наличие необычных действий, злонамеренных пользователей, подозрительных входов в систему, ботов, захват учетных записей и любых других аномалий, которые могут привести к компрометации.
В дополнение к использованию инструментов необходимо встроить защиту в само приложение.

2 Защита учетных записей пользователей и ресурсов приложения

Каждая точка взаимодействия обычно является потенциальной поверхностью атаки.

Лучший способ предотвратить атаки — уменьшить или ограничить уязвимость приложений и ресурсы, к которым могут обращаться недоверенные пользователи.

Также важно регулярно и автоматически исправлять и обновлять системы безопасности, чтобы устранять уязвимости.

Хотя поставщик услуг защищает платформу, клиент несет более значительную ответственность за защиту учетной записи и приложений.

Это означает, что использование набора стратегий безопасности, таких как сочетание встроенных функций безопасности платформы, надстроек и сторонних инструментов, улучшает защиту учетных записей, приложений и данных.

Кроме того, по возможности необходимо обеспечивать доступ к системе только авторизованным пользователям или сотрудникам.

Другая мера защиты заключается в том, чтобы свести к минимуму количество сотрудников с правами администратора при создании механизма аудита для выявления рискованных действий внутренних групп и авторизованных внешних пользователей.

3 Сканирование приложения на наличие уязвимостей

Выполните оценку рисков, чтобы определить, есть ли какие-либо угрозы безопасности или уязвимости в приложениях и их библиотеках, зависимостях, пакетах и т.д.
Используйте полученные данные для улучшения защиты всех компонентов.
В идеале, установите регулярное сканирование и запланируйте его ежедневное автоматическое выполнение или любой другой интервал в зависимости от чувствительности приложения и потенциальных угроз безопасности.
Если возможно, используйте решение, которое может быть интегрировано с другими инструментами, такими как коммуникационное программное обеспечение, или имеет встроенную функцию, чтобы предупредить соответствующих людей при обнаружении угрозы безопасности или атаки.

4 Протестируйте и устраните проблемы безопасности в зависимостях

Обычно приложения будут зависеть как от прямых, так и от косвенных зависимостей, которые в основном имеют открытый исходный код.

Любые недостатки в этих компонентах могут привести к появлению уязвимостей в приложении, если их не устранить.

Хорошей практикой является анализ всех внутренних и внешних компонентов приложений, выполнение тестов на проникновение API, проверка сторонних сетей и многое другое.

Некоторые из эффективных способов исправления уязвимостей включают обновление или замену зависимости на безопасную версию, исправление и т. д.

5 Выполните тестирование на проникновение и моделирование угроз.

Тестирование на проникновение помогает выявить и устранить дырки в безопасности или уязвимости, прежде чем злоумышленники смогут их найти и воспользоваться.

Поскольку тесты на проникновение обычно агрессивны, они могут выглядеть как DDoS-атаки, и важно координировать свои действия с другими группами безопасности, чтобы избежать создания ложных тревог.

Моделирование угроз включает в себя моделирование возможных атак, исходящих из надежных границ.
Это помогает проверить, есть ли недостатки у проекта, которые могут использовать злоумышленники.
Моделирование позволяет командам ИБ получать сведения об угрозах, которые они могут использовать для повышения безопасности и разработки контрмер для устранения выявленных недостатков или угроз.

6 Мониторинг активности и доступа к файлам

Мониторинг привилегированных учетных записей позволяет командам безопасности получить представление и понять, как пользователи используют платформу.

Это позволяет группам безопасности определять, имеют ли действия привилегированных пользователей потенциальные угрозы безопасности или проблемы соответствия.

Отслеживайте и регистрируйте действия пользователей с их правами, а также действия с файлами.

При этом выявляются такие проблемы, как подозрительный доступ, изменения, необычные загрузки или скачивания и т.д.

Мониторинг файловой активности должен также предоставлять список всех пользователей, которые обращались к файлу в случае необходимости расследования инцидента.

Правильное решение должно обладать способностью идентифицировать внутренние угрозы и пользователей с высоким уровнем риска путем поиска таких проблем, как одновременный вход в систему, подозрительные действия и множество неудачных попыток входа в систему.

Другие индикаторы включают вход в неурочные часы, загрузку или отправку подозрительных файлов и данных и т. д.

По возможности автоматические меры по смягчению блокируют любую подозрительную активность и предупреждают группы безопасности о расследовании нарушения, а также устраняют любые уязвимости безопасности.

7 Безопасность данных

Рекомендуется шифровать данные во время хранения и при передаче.
Защита каналов связи предотвращает возможные атаки «человек посередине», когда данные передаются через Интернет.
Если это еще не сделано, внедрите HTTPS, включив сертификат TLS для шифрования и защиты канала связи и, следовательно, передаваемых данных.

8 Всегда проверяйте данные

Это гарантирует, что входные данные имеют правильный формат, действительный и безопасный.

Все данные, будь то от внутренних пользователей или внешних групп безопасности доверенных и ненадежных источников, должны обрабатывать данные как компоненты высокого риска.

В идеале, выполнить проверку на стороне клиента и проверки безопасности перед загрузкой данных, которые обеспечат прохождение только чистых данных при блокировке скомпрометированных или зараженных вирусом файлов.

9 Безопасность кода

Анализируйте код на наличие уязвимостей в течение жизненного цикла разработки.
Анализ начинается с начальных этапов, и разработчики должны развертывать приложение в рабочей среде только после подтверждения того, что код безопасен.

10 Принудительная многофакторная аутентификация

Включение многофакторной аутентификации добавляет дополнительный уровень защиты, который повышает безопасность и гарантирует, что только авторизованные пользователи имеют доступ к приложениям, данным и системам.
Это может быть комбинация пароля, OTP, SMS, мобильных приложений и т.д.

11 Обеспечьте надежную политику паролей

Большинство людей используют слабые пароли, которые легко запомнить и они никогда не будут менять их, если их не принуждать.

Это риск для безопасности, который администраторы могут минимизировать, применяя политики надежных паролей.

Политика должна требовать надежные пароли, срок действия которых истекает через установленный период.
Еще одной связанной мерой безопасности является прекращение хранения и отправки учетных данных в виде простого текста.
В идеале шифруйте токены аутентификации, учетные данные и пароли.

12 Используйте стандартную аутентификацию и авторизацию

Рекомендуется использовать стандартные, надежные и проверенные механизмы и протоколы аутентификации и авторизации, такие как OAuth2 и Kerberos.
Несмотря на то, что вы можете разработать собственные протоколы аутентификации, они подвержены ошибкам и уязвимостям, поэтому могут подвергать системы атакам злоумышленников.

13 Процессы управления ключами

Используйте надежные криптографические ключи и избегайте коротких или слабых ключей, которые могут подобрать злоумышленники.

Кроме того, используйте механизмы безопасного распространения ключей, регулярно меняйте ключи, всегда обновляйте их вовремя, отзывайте их при необходимости и избегайте хардкода клечей в приложениях.

Использование автоматической и регулярной ротации ключей повышает безопасность и соответствие требованиям, одновременно ограничивая количество зашифрованных данных, подверженных риску.

14 Управление доступом к приложениям и данным

Разрабатывайте и применяйте управляемую и проверяемую политику безопасности со строгими правилами доступа.
Лучший подход — предоставить авторизованным сотрудникам и пользователям только необходимые права доступа и не более.
Это означает назначение правильных уровней доступа только тем приложениям и данным, которые необходимы им для выполнения своих обязанностей.
Кроме того, должен проводиться регулярный мониторинг того, как люди используют назначенные права, и отменять права, которыми либо злоупотребляют пользователи, либо не используют их.

15 Текущие операции

Есть несколько вещей, которые нужно делать:

  • Выполнение непрерывного тестирования, регулярного обслуживания, исправлений и обновлений приложений для выявления и устранения возникающих уязвимостей безопасности и проблем соответствия.
  • Создание механизма аудита активов, пользователей и привилегий. Затем группы безопасности должны регулярно проверять их, чтобы выявлять и решать любые проблемы, в дополнение к отзыву прав доступа, которые пользователи злоупотребляют или не требуют.
  • Разработайте и разверните план реагирования на инциденты, в котором показано, как устранять угрозы и уязвимости. В идеале план должен включать технологии, процессы и людей.

16 Автоматический сбор и анализ логов

Приложения, API и системные журналы выдают много информации.

Развертывание автоматического инструмента для сбора и анализа журналов предоставляет полезную информацию о том, что происходит.

Чаще всего службы ведения журналов, доступные как в виде встроенных функций, так и сторонних надстроек, отлично подходят для проверки соответствия политикам безопасности и другим правилам, а также для аудита.

Используйте анализатор логов, который интегрируется с системой оповещения, поддерживает стеки приложений, предоставляет панель мониторинга и т. д.

17 Сохраняйте и просматривайте контрольные логи

Рекомендуется хранить логи действий пользователей и разработчиков, таких как успешные и неудачные попытки входа в систему, изменения пароля и другие события, связанные с учетной записью.

Вывод

Модель PaaS устраняет сложность и стоимость покупки, управления и обслуживания аппаратного и программного обеспечения, но возлагает ответственность за защиту учетных записей, приложений и данных на клиента или подписчика.

Это требует подхода, ориентированного на идентичность, который отличается от стратегий, которые компании используют в традиционных локальных центрах обработки данных.

Эффективные меры включают обеспечение безопасности приложений, обеспечение адекватной внутренней и внешней защиты, а также мониторинг и аудит действий.

Оценка логов помогает выявить уязвимости безопасности, а также возможности улучшения.

В идеале группы безопасности должны стремиться к устранению любой угрозы или уязвимости на ранней стадии, прежде чем злоумышленники увидят и используют их.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40