プラットフォーム・アズ・ア・サービス(PaaS)環境を保護する方法

プラットフォーム・アズ・ア・サービス(PaaS)環境を保護する方法

顧客がオンライン アプリケーションを構築、保護、運用、管理できるようにするクラウド コンピューティング サービス プラットフォーム (PaaS)。これにより、チームはアプリケーションをサポートするための IT インフラストラクチャを購入したり管理したりすることなく、アプリケーションを開発および展開できるようになります。

[[443309]]

全体として、このプラットフォームは、開発者とユーザーにインターネット アクセスを提供しながら、ソフトウェア開発と使用のライフサイクル全体をサポートします。 PaaS の利点には、使いやすさ、コスト削減、柔軟性、スケーラビリティなどがあります。

プラットフォーム・アズ・ア・サービス(PaaS)環境を保護する方法

PaaS は通常、オンプレミスのデータセンターほど保護されていません。

セキュリティは PaaS 環境に組み込まれています。 PaaS のお客様は、プラットフォーム アカウント、アプリケーション、およびデータを保護します。理想的な世界では、場所のセキュリティは ID 境界のセキュリティに移行します。

したがって、PaaS クライアントは、主要なセキュリティ境界として ID を優先する必要があります。認証、操作、監視、およびログ記録は、コード、データ、および構成を保護するために重要です。

未知の脅威や頻繁な脅威からアプリケーションを保護する

間違いなく、最も効果的なアプローチは、攻撃を自動的に検出してブロックできるリアルタイムの自動化セキュリティ システムを採用することです。さらに、PaaS ユーザーは、プラットフォームのセキュリティ機能やサードパーティのソリューションを活用できます。

不正アクセス、攻撃、または侵害は直ちに検出され、防止される必要があります。

敵対的なユーザー、奇妙なログイン、悪意のあるボットや乗っ取り、その他の異常を検出できる必要があります。テクノロジーに加えて、アプリケーションにはセキュリティも必要です。

ユーザーとアプリケーションリソースの保護

すべてのコンタクトは攻撃対象となる可能性があります。攻撃を防ぐ最善の方法は、信頼できない人による脆弱性やリソースへのアクセスを制限または制限することです。脆弱性を最小限に抑えるには、セキュリティ システムを自動的にパッチ適用して更新する必要があります。

サービスプロバイダーがプラットフォームを保護したとしても、セキュリティの最終的な責任は顧客にあります。組み込みのプラットフォーム セキュリティ機能、アドオン、サードパーティ ソリューション、セキュリティ アプローチを組み合わせることで、アカウント、アプリケーション、データの保護が大幅に強化されます。また、許可されたユーザーまたはスタッフのみがシステムにアクセスできるようにします。

もう 1 つのアプローチは、内部チームおよび外部ユーザーによる潜在的に危険なアクションを検出する監査システムを作成しながら、管理アクセスを制限することです。

管理者はユーザーの権限を可能な限り制限する必要があります。プログラムやその他の操作が正しく実行されるようにするには、ユーザーに可能な限り低い権限を与える必要があります。攻撃対象領域は縮小し、特権リソースが公開されています。

セキュリティの脆弱性をチェックするアプリケーション

アプリケーションとそのライブラリのセキュリティ リスクと脆弱性を評価します。結果を使用して、コンポーネント全体の保護を強化します。たとえば、理想的には、アプリケーションの機密性とセキュリティ リスクの可能性に基づいて、毎日のスキャンが自動的にスケジュールされます。通信ソフトウェアなどの他のツールに統合できるソリューションや、セキュリティ リスクや攻撃が特定されたときに関係者に通知するために使用できるソリューションが含まれます。

依存症関連の安全性の問題を分析し、対処する

アプリケーションは多くの場合、直接的または間接的なオープンソース要件に依存します。これらの弱点が修正されない場合、アプリケーションが安全でなくなる可能性があります。

API をテストし、サードパーティ ネットワークを検証するには、プログラムの内部コンポーネントと外部コンポーネントの両方を分析する必要があります。パッチ適用、更新、または依存関係を安全なバージョンに置き換えることはすべて効果的な緩和方法です。

侵入テストと脅威モデリング

侵入テストは、攻撃者がセキュリティの問題を発見して悪用する前に、セキュリティの問題を検出して解決するのに役立ちます。ただし、侵入テストは攻撃的であり、DDoS 攻撃のように見える場合があります。誤報を防ぐために、セキュリティ担当者は協力して作業する必要があります。

脅威モデル化には、信頼できる境界内からの攻撃のシミュレートが含まれます。これは、攻撃者が悪用する可能性のある設計上の弱点を特定するのに役立ちます。その結果、IT チームはセキュリティを強化し、特定された弱点やリスクに対する修復策を開発できます。

ユーザーとファイルアクセスの追跡

特権アカウントを管理することで、セキュリティ チームはユーザーがプラットフォームとどのようにやり取りしているかを把握できます。さらに、セキュリティ チームは、選択したユーザー アクションがセキュリティやコンプライアンスにリスクをもたらすかどうかを評価できます。

ユーザー権限とファイル操作を監視し、記録します。不正なアクセス、変更、ダウンロード、アップロードをチェックします。ファイル アクティビティ監視システムでは、ファイルを閲覧したすべてのユーザーも記録する必要があります。

適切なソリューションは、競合するログイン、不審なアクティビティ、および繰り返し失敗したログイン試行を検出する必要があります。たとえば、不都合な時間にログインしたり、疑わしい資料やデータをダウンロードしたりすることが考えられます。これらの自動化されたセキュリティ機能は、疑わしい動作をブロックし、セキュリティの問題を調査して修復するようセキュリティ専門家に通知します。

データアクセスの制限

最善のアプローチは、転送中と保存中の両方でデータを暗号化することです。さらに、インターネット通信リンクを保護することで、人為的な攻撃を防ぐことができます。

そうでない場合は、HTTPS を設定して TLS 証明書を使用してチャネルを暗号化し、セキュリティを確保し、データを保護します。

データを継続的に検証します。

これにより、入力データが安全で正しい形式であることが保証されます。

内部ユーザーからのデータであれ、外部のセキュリティ チームからのデータであれ、すべてのデータは高リスクと見なす必要があります。正しく実行されれば、クライアント側の検証とセキュリティ メカニズムによって、感染したファイルやウイルスに感染したファイルのアップロードが防止されます。

脆弱性コード

開発プロセス中にコードの脆弱性を分析します。開発者は、コードが安全であることを検証する前に、プログラムを本番環境にリリースしないでください。

MFA の適用

多要素認証により、許可されたユーザーのみがアプリケーション、データ、システムにアクセスできるようになります。たとえば、パスワード、ワンタイムパスワード、テキストメッセージ、モバイルアプリケーションなどを使用できます。

パスワードのセキュリティを強化する

ほとんどの人は、覚えやすく、決して更新されない弱いパスワードを選択します。したがって、管理者は強力なパスワード ポリシーを使用することで、このセキュリティ リスクを最小限に抑えることができます。

これには、有効期限のある強力なパスワードの使用が必要です。理想的には、プレーンテキストの資格情報ではなく、暗号化された認証トークン、資格情報、およびパスワードが保存および送信されます。

認証と承認

OAuth2 や Kerberos などの認証および承認の方法とプロトコルが適しています。ただし、固有の認証コードを使用するとシステムが攻撃者に公開される可能性が低くなりますが、バグがないわけではありません。

経営の基本

予測可能な暗号化キーの使用は避けてください。代わりに、安全なベース配布方法を使用し、キーを頻繁にローテーションし、スケジュールに従ってキーを更新し、アプリケーションにキーをハードコーディングしないようにします。

自動キーローテーションにより、データの露出を減らしながらセキュリティとコンプライアンスを強化します。

アプリケーションとデータへのアクセスを制御する

厳格なアクセス制限を備えた監査可能なセキュリティ ポリシーを作成します。たとえば、許可されたスタッフとユーザーのみにアクセスを制限するのが最適です。

ログの収集と分析

アプリケーション、API、システム ログはすべて有用なデータを提供します。さらに、自動ログ収集と分析により必要な情報が提供されます。組み込み機能またはサードパーティのアドオンとして、ログ記録サービスは、セキュリティやその他の法律への準拠を確保するのに適しています。

ログ アナライザーを使用してアラート システムと対話し、アプリケーションのテクノロジ スタックをサポートし、単一のダッシュボードを使用します。

すべてを記録する

これには、ログイン試行の成功と失敗、パスワードの変更、その他のアカウント関連のイベントが含まれます。さらに、自動化された方法を使用して、疑わしい、または安全でないカウンターアクティビティを防ぐこともできます。

結論は

顧客または加入者は、アカウント、アプリケーション、またはデータを保護する責任を負うことになります。これには、従来のオンサイト データ センターで使用されるセキュリティとは異なるアプローチが必要です。適切な内部および外部の保護を備えたアプリケーションは、セキュリティを考慮して開発する必要があります。

ログ分析により、セキュリティ上の弱点と改善の機会が明らかになります。理想的な世界では、セキュリティ チームは、攻撃者が気付く前にリスクと脆弱性をターゲットにします。

<<:  クラウドネイティブの5つの主要技術の詳細説明

>>:  Kubernetes クラスタ ロギングの基本を簡単に説明します

推薦する

ロンドンオリンピックをウェブサイトのトラフィックを増やす人気イベントとして活用する方法

毎日、パソコンの電源を入れると、いつも私たちを取り囲むホットな話題があります。それは「2012年ロン...

PuTTYとWinSCPの中国語版には、ウェブマスターにウェブサイトのセキュリティに注意するよう促すバックドアが組み込まれている

セキュリティベンダーは、Putty および WinSCP ソフトウェアの一部の中国版にバックドアが組...

AWS IoT ボタンの紹介

AWS IoT ボタンは、Amazon Dash Button ハードウェアをベースにしたプログラム...

BAT31 PR: さまざまな特徴と強みが国内のインターネットを非常に活発にしている

インターネット企業は、ネットユーザーが毎日利用し、そのサービスにはより高い広報能力が求められる百度、...

Azureで提供されるSolarWindsデータベースパフォーマンス監視製品

最近、SolarWinds は、データベース パフォーマンス監視製品 (SolarWinds Dat...

キーワードの選択は重要

キーワードは、SEO 最適化を行う際に最も基本的なものです。 したがって、SEO作業を行う際には、キ...

A5マーケティング:企業のウェブサイトが構築する外部リンクの99%は役に立たず、有用なのはわずか1%

近年、あまりにも多くの企業がウェブサイトを構築しており、毎日複数の企業ウェブサイトが形成されています...

#苦情防止/著作権フリーホスティング# vpslices-$2.3/1g メモリ/50g SSD/100m/無制限トラフィック/DDoS 保護

vpslices は HostCat に連絡し、全員に 20% 割引コードを提供するために協力しまし...

Google、データ需要の増加に伴いアジア太平洋地域のクラウドリージョンを3つ追加

Google は、データ分析、オープン インフラストラクチャ、オンライン接続の需要が高まっているアジ...

ウェブサイト最適化に関する FAQ 1: 新しいサイトが含まれていないのはなぜですか?

多くのウェブマスターがこの問題に非常に関心を持っていると思います。著者は大小さまざまなウェブサイトを...

タオバオ鬼足七:Tmallのパーソナライズ検索の解釈

@天猫逍遥子はWeiboで、Tmall検索にパーソナライズ要素が追加されたと発表した。興奮する人もい...

SEO業界の5つの不健全な傾向をチェック

SEO というかっこいい名前は、確かに近年中国のインターネットで人気が出てきました。 Baidu の...

JVMとLinuxメモリの関係の詳細な説明

物理メモリが 8G あり、主に Java サービスを実行している一部のサーバーでは、システム メモリ...

エッジ要素: Cheshijie.com の最適化とプロモーションの提案

雑談はやめて本題に戻りましょう。以下は、個人的な観点から見た Car Vision に関するいくつか...

2018 年にデジタル マーケティングを生き残るための 3 つの魔法の武器

通信技術の急速な進化、通信環境の急速な変化、そして消費者の要求の波により、デジタル マーケティングは...