プラットフォーム・アズ・ア・サービス（PaaS）環境を保護する方法

顧客がオンライン アプリケーションを構築、保護、運用、管理できるようにするクラウド コンピューティング サービス プラットフォーム (PaaS)。これにより、チームはアプリケーションをサポートするための IT インフラストラクチャを購入したり管理したりすることなく、アプリケーションを開発および展開できるようになります。

[[443309]]

全体として、このプラットフォームは、開発者とユーザーにインターネット アクセスを提供しながら、ソフトウェア開発と使用のライフサイクル全体をサポートします。 PaaS の利点には、使いやすさ、コスト削減、柔軟性、スケーラビリティなどがあります。

プラットフォーム・アズ・ア・サービス（PaaS）環境を保護する方法

PaaS は通常、オンプレミスのデータセンターほど保護されていません。

セキュリティは PaaS 環境に組み込まれています。 PaaS のお客様は、プラットフォーム アカウント、アプリケーション、およびデータを保護します。理想的な世界では、場所のセキュリティは ID 境界のセキュリティに移行します。

したがって、PaaS クライアントは、主要なセキュリティ境界として ID を優先する必要があります。認証、操作、監視、およびログ記録は、コード、データ、および構成を保護するために重要です。

未知の脅威や頻繁な脅威からアプリケーションを保護する

間違いなく、最も効果的なアプローチは、攻撃を自動的に検出してブロックできるリアルタイムの自動化セキュリティ システムを採用することです。さらに、PaaS ユーザーは、プラットフォームのセキュリティ機能やサードパーティのソリューションを活用できます。

不正アクセス、攻撃、または侵害は直ちに検出され、防止される必要があります。

敵対的なユーザー、奇妙なログイン、悪意のあるボットや乗っ取り、その他の異常を検出できる必要があります。テクノロジーに加えて、アプリケーションにはセキュリティも必要です。

ユーザーとアプリケーションリソースの保護

すべてのコンタクトは攻撃対象となる可能性があります。攻撃を防ぐ最善の方法は、信頼できない人による脆弱性やリソースへのアクセスを制限または制限することです。脆弱性を最小限に抑えるには、セキュリティ システムを自動的にパッチ適用して更新する必要があります。

サービスプロバイダーがプラットフォームを保護したとしても、セキュリティの最終的な責任は顧客にあります。組み込みのプラットフォーム セキュリティ機能、アドオン、サードパーティ ソリューション、セキュリティ アプローチを組み合わせることで、アカウント、アプリケーション、データの保護が大幅に強化されます。また、許可されたユーザーまたはスタッフのみがシステムにアクセスできるようにします。

もう 1 つのアプローチは、内部チームおよび外部ユーザーによる潜在的に危険なアクションを検出する監査システムを作成しながら、管理アクセスを制限することです。

管理者はユーザーの権限を可能な限り制限する必要があります。プログラムやその他の操作が正しく実行されるようにするには、ユーザーに可能な限り低い権限を与える必要があります。攻撃対象領域は縮小し、特権リソースが公開されています。

セキュリティの脆弱性をチェックするアプリケーション

アプリケーションとそのライブラリのセキュリティ リスクと脆弱性を評価します。結果を使用して、コンポーネント全体の保護を強化します。たとえば、理想的には、アプリケーションの機密性とセキュリティ リスクの可能性に基づいて、毎日のスキャンが自動的にスケジュールされます。通信ソフトウェアなどの他のツールに統合できるソリューションや、セキュリティ リスクや攻撃が特定されたときに関係者に通知するために使用できるソリューションが含まれます。

依存症関連の安全性の問題を分析し、対処する

アプリケーションは多くの場合、直接的または間接的なオープンソース要件に依存します。これらの弱点が修正されない場合、アプリケーションが安全でなくなる可能性があります。

API をテストし、サードパーティ ネットワークを検証するには、プログラムの内部コンポーネントと外部コンポーネントの両方を分析する必要があります。パッチ適用、更新、または依存関係を安全なバージョンに置き換えることはすべて効果的な緩和方法です。

侵入テストと脅威モデリング

侵入テストは、攻撃者がセキュリティの問題を発見して悪用する前に、セキュリティの問題を検出して解決するのに役立ちます。ただし、侵入テストは攻撃的であり、DDoS 攻撃のように見える場合があります。誤報を防ぐために、セキュリティ担当者は協力して作業する必要があります。

脅威モデル化には、信頼できる境界内からの攻撃のシミュレートが含まれます。これは、攻撃者が悪用する可能性のある設計上の弱点を特定するのに役立ちます。その結果、IT チームはセキュリティを強化し、特定された弱点やリスクに対する修復策を開発できます。

ユーザーとファイルアクセスの追跡

特権アカウントを管理することで、セキュリティ チームはユーザーがプラットフォームとどのようにやり取りしているかを把握できます。さらに、セキュリティ チームは、選択したユーザー アクションがセキュリティやコンプライアンスにリスクをもたらすかどうかを評価できます。

ユーザー権限とファイル操作を監視し、記録します。不正なアクセス、変更、ダウンロード、アップロードをチェックします。ファイル アクティビティ監視システムでは、ファイルを閲覧したすべてのユーザーも記録する必要があります。

適切なソリューションは、競合するログイン、不審なアクティビティ、および繰り返し失敗したログイン試行を検出する必要があります。たとえば、不都合な時間にログインしたり、疑わしい資料やデータをダウンロードしたりすることが考えられます。これらの自動化されたセキュリティ機能は、疑わしい動作をブロックし、セキュリティの問題を調査して修復するようセキュリティ専門家に通知します。

データアクセスの制限

最善のアプローチは、転送中と保存中の両方でデータを暗号化することです。さらに、インターネット通信リンクを保護することで、人為的な攻撃を防ぐことができます。

そうでない場合は、HTTPS を設定して TLS 証明書を使用してチャネルを暗号化し、セキュリティを確保し、データを保護します。

データを継続的に検証します。

これにより、入力データが安全で正しい形式であることが保証されます。

内部ユーザーからのデータであれ、外部のセキュリティ チームからのデータであれ、すべてのデータは高リスクと見なす必要があります。正しく実行されれば、クライアント側の検証とセキュリティ メカニズムによって、感染したファイルやウイルスに感染したファイルのアップロードが防止されます。

脆弱性コード

開発プロセス中にコードの脆弱性を分析します。開発者は、コードが安全であることを検証する前に、プログラムを本番環境にリリースしないでください。

MFA の適用

多要素認証により、許可されたユーザーのみがアプリケーション、データ、システムにアクセスできるようになります。たとえば、パスワード、ワンタイムパスワード、テキストメッセージ、モバイルアプリケーションなどを使用できます。

パスワードのセキュリティを強化する

ほとんどの人は、覚えやすく、決して更新されない弱いパスワードを選択します。したがって、管理者は強力なパスワード ポリシーを使用することで、このセキュリティ リスクを最小限に抑えることができます。

これには、有効期限のある強力なパスワードの使用が必要です。理想的には、プレーンテキストの資格情報ではなく、暗号化された認証トークン、資格情報、およびパスワードが保存および送信されます。

認証と承認

OAuth2 や Kerberos などの認証および承認の方法とプロトコルが適しています。ただし、固有の認証コードを使用するとシステムが攻撃者に公開される可能性が低くなりますが、バグがないわけではありません。

経営の基本

予測可能な暗号化キーの使用は避けてください。代わりに、安全なベース配布方法を使用し、キーを頻繁にローテーションし、スケジュールに従ってキーを更新し、アプリケーションにキーをハードコーディングしないようにします。

自動キーローテーションにより、データの露出を減らしながらセキュリティとコンプライアンスを強化します。

アプリケーションとデータへのアクセスを制御する

厳格なアクセス制限を備えた監査可能なセキュリティ ポリシーを作成します。たとえば、許可されたスタッフとユーザーのみにアクセスを制限するのが最適です。

ログの収集と分析

アプリケーション、API、システム ログはすべて有用なデータを提供します。さらに、自動ログ収集と分析により必要な情報が提供されます。組み込み機能またはサードパーティのアドオンとして、ログ記録サービスは、セキュリティやその他の法律への準拠を確保するのに適しています。

ログ アナライザーを使用してアラート システムと対話し、アプリケーションのテクノロジ スタックをサポートし、単一のダッシュボードを使用します。

すべてを記録する

これには、ログイン試行の成功と失敗、パスワードの変更、その他のアカウント関連のイベントが含まれます。さらに、自動化された方法を使用して、疑わしい、または安全でないカウンターアクティビティを防ぐこともできます。

結論は

顧客または加入者は、アカウント、アプリケーション、またはデータを保護する責任を負うことになります。これには、従来のオンサイト データ センターで使用されるセキュリティとは異なるアプローチが必要です。適切な内部および外部の保護を備えたアプリケーションは、セキュリティを考慮して開発する必要があります。

ログ分析により、セキュリティ上の弱点と改善の機会が明らかになります。理想的な世界では、セキュリティ チームは、攻撃者が気付く前にリスクと脆弱性をターゲットにします。