클라우드 PAAs 보안 컴퓨팅의 5 단계 구현

보안 및 클라우드 컴퓨팅 모델에 관해서, 플랫폼 서비스 (PaaS)로 그것의 자신의 특별 한 도전이 있다. 다른 클라우드 컴퓨팅 모델, 달리 PAAs 보안 대부분의 회사는에 무 겁 게 투자 하지 수 응용 프로그램 보안 전문 지식을 필요 합니다. 이것은 복잡 한 문제가 많은 기업 (예: 응용 프로그램 코드 생산, 크로스-사이트 스크립팅의 발견 또는 다른 프런트 엔드 문제를 완화 하기 위해 사용 WAF 출시 되 면) 응용 프로그램 수준 보안 위험에 대 한 응답으로 "바라나시" 인프라 수준 보안 제어 전략을 사용 하기 때문에. 이 전략은 PAAs 배포 응용 프로그램 제어는 PAAs에서 기본 인프라의 부족 때문에 비실용적 되었다.

PAAs 및 제어와 관련 된 유연성을 감안할 때, 기본 컴퓨팅 환경에 몇 가지 제어가 필요 합니다. 거의 무한 한 설계 유연성을 제공 하는 IaaS, PAAs 처럼: 어떤 응용 인트라넷 사이트를 구현 하는 소셜 네트워킹 사이트에 따라 또는 CRM 응용 프로그램을 빌드할 수 있습니다. 그러나, 달리 IaaS, 응용 프로그램에서 "스택"은 불투명, 즉 구성 요소와 응용 프로그램을 지 원하는 인프라는 (디자인)에 의해 "블랙 박스". 즉, SaaS, 같은 응용 프로그램 자체에 보안 컨트롤을 작성 해야 하지만 SaaS 서비스 공급자는 일반적으로 모든 고객에 대 한 구현 하는 응용 프로그램 수준 보안 컨트롤과 달리 IaaS 보안 제어 대상으로 하는 응용 프로그램. 이 책임을 적절 한 어떤 대책을 결정 하 고 그들을 구현 하는 것을 의미 합니다.

여기에 모델 및 고객의 차이 보여 주는 간단한 다이어그램이입니다.

응용 프로그램 설계 유연성

기능 제어 비율

기본 투명도

응용 프로그램 보안에 무 겁 게 투자 하는 조직, 그들은 완전히 훈련 개발자, 독립 개발, 테스트 및 생산 프로세스, 그래서 그들은 PAAs 보안 문제와 편안 해야 합니다. 아직 만들지이 투자 하는 조직, 어느 정도 수 다음이 단계를 수행 하 여 PAAs 보안의 과제를 충족.

1 단계: 보안 대책 수립

PAAs 구현 하기 전에 응용 프로그램 보안의 근본적인 도전이 깁니다. 따라서, 안전 하 고 강력한 응용 프로그램의 배포를 개선 하는 방법에 상당한 연구가입니다. 직접적인 지원을 제공 하는 기술 하는 데 응용 프로그램 위협 모델링을 이라고 합니다. 몇 가지 좋은 포인트는 Owasp 위협 모델링 페이지 Microsoft 보안 개발 수명 주기 리소스 페이지. 도구의 관점에서 그것은 무료 크로스 사이트 스크립팅 (XSS)와 SQL 주입입니다. 내부 도구는 엔터프라이즈 PAAs 보안 조치, 그것 적용 하거나 많은 PAAs 벤더 제공 고객 무료 또는 할인 된 가격에 비슷한 기능을 도구. 그리고 회사는 광범위 한 검색 전략을 사용 하려면, 그들은 또한 Google의 skipfish 같은 무료 도구를 사용할 수 있습니다.

2 단계: 스캔 네트워크 응용 프로그램

많은 기업 응용 프로그램 스캔, 스캐닝 도구 SQL 가져오기 및 크로스 플랫폼 스크립팅 (XSS) 같은 일반적인 보안 문제를 해결 하는 네트워크 응용 프로그램을 허용 해야 합니다. 내부 도구는 엔터프라이즈 PAAs 보안 조치, 그것 적용 하거나 많은 PAAs 업체 무료 또는 할인 된 가격에 비슷한 기능을 가진 고객을 위한 도구를 제공. 그리고 회사는 광범위 한 검색 전략을 사용 하려면, 그들은 또한 Google의 skipfish 같은 무료 도구를 사용할 수 있습니다.

3 단계: 훈련 개발자

그것은 중요 한 응용 프로그램 개발자가 완전히 응용 프로그램 보안의 원리를 마스터입니다. 그들은 현재 원칙에서 보안 설계 원칙 등 광범위 한 문제 뿐 아니라 응용 프로그램에서 사용 하는 언어를 코딩 하는 보안을 구축 하는 데 사용할 언어 수준 훈련을 등이 있습니다. 소형화 및 이동성 종종에서는 훈련 정기적으로 반복 하 고 정상적으로 유지 될, 개발자의 개발자 응용 프로그램의 보안 교육 비용을 더 비싼 있을 수 있습니다. 다행히도, 몇 가지 무료 리소스, 텍사스 A & m/재난 보안 소프트웨어 개발에 대 한 무료 e-학습 자료를 제공 하는 국내 대비 캠퍼스 프로그램 등이 있다. 또한 그것의 클리닉 2806 통해 무료 교육을 제공 하는 마이크로소프트: 자신의 사용자 지정 프로그램을 시작 하기 위한 유용한 엔트리 레벨 교육 자료는 마이크로소프트 개발자 보안 기술 교육.

4 단계: 테스트 데이터 전용

이것은 항상 일어나 고: 개발자 테스트를 위해 생산 데이터를 사용 하 여. 이것은 동일한 보안 대책 개발 또는 프로덕션 환경에서 시운전 환경에서 구현 되지 않습니다 경우에 특히 고객 식별 데이터 등의 기밀 데이터를 테스트 하는 동안 샐 수 있기 때문에 제대로 이해 될 필요가 있는 문제. PAAs는 더 환경에 민감한, 그리고 많은 PAAs 서비스를 손쉽게 배포, 테스트 실행 및 데이터베이스 배포를 단순화 하기 위해 생산 사이 공유. 데이터베이스의 특정 구조를 일치 하는 높은-용량 데이터 및 데이터 형식을 조정 생산 데이터를 전용 하는 데 도움이 오픈 소스 Databene benerator 같은 도구 만들 수 있습니다. 일반적으로 이러한 프로세스는 특정 환경에서 작동 하는 직업을 찾는의 알고 있이 필요가 그래서 특정 프레임 워크에 속한다.

5 단계: 우선 순위 조정

이 마지막 단계는 구현할 수 있습니다 가장 중요 한 단계 중 하나입니다. PAAs 문화 및 우선 순위 조정 암시 수 있습니다, 이후 그에 따라 조정에 동의 하 고 자신의 정신 및 행동 시스템으로 통합. PAAs, 모든 조직의 보안 조직에서 개발 팀에 매우 의존 된다는 것을 의미 하는 응용 프로그램에 관련 됩니다. 이 PAAs 문제 없으면 그것은 악몽, 때문에 됩니다 인프라 수준에서 확인 된 위험을 완화 하는 조치를 구현할 수 없습니다. 만약 당신이 응용 프로그램 수준에서 보안 문제에 맞게 인프라 제어 의존 있다, 재고 하는 시간 이다.