保護 PaaS 部署,paas平臺本地化部署保護 PaaS 部署參考本文中的信息,可以:了解云中的托管應用程序的安全優勢評估平臺即服務(PaaS)相比其他云服務模型的安全優勢將安全重心從以網絡為中心的方案轉換為以標識為中心的外圍安全方案實施一般的PaaS安全最佳實踐建議開發適用于云的應用程序時,在軟件開發生命周期的每個......
參考本文中的信息,可以:
了解云中的托管應用程序的安全優勢
評估平臺即服務(PaaS)相比其他云服務模型的安全優勢
將安全重心從以網絡為中心的方案轉換為以標識為中心的外圍安全方案
實施一般的PaaS安全最佳實踐建議
開發適用于云的應用程序時,在軟件開發生命周期的每個階段應考慮的安全問題和控制措施是一般的指導。
云的安全優勢
請務必了解你與Microsoft之間的責任分工。在本地,擁有整個堆棧,但遷移到云后,某些責任將轉移到Microsoft。
轉移到云中可帶來一定的安全優勢。在本地環境中,組織的可用資源可能有限,無法盡責在安全措施上投資,使得攻擊者能夠利用所有層中的漏洞。
組織可以使用提供商的基于云的安全功能和云智能來改善其威脅檢測和響應時間。通過將責任轉移到云提供商,組織可以擴大安全覆蓋范圍,為其他優先業務重新調配安全資源與預算。
PaaS云服務模型的安全優勢
讓我們來了解一下Azure PaaS部署相比本地部署的安全優勢。
PaaS的安全優勢
從堆棧的底部(即物理基礎結構)開始,Microsoft可以消除常見的風險和管理責任。由于Microsoft云受到Microsoft的持續監視,因此很難攻破。攻擊者將Microsoft云當作攻擊目標是不會得逞的。他們往往會改換目標,除非他們有大量的金錢和資源。
在堆棧的中間,PaaS部署與本地之間沒有差別。在應用程序層和帳戶與訪問管理層,面臨的風險是類似的。本文的后續步驟部分將提供有關消除或盡量避免這些風險的最佳實踐指導。
堆棧的頂層(即數據監管和權限管理)存在一種風險,不過可以使用密鑰管理來緩解。(最佳實踐中介紹了密鑰管理。)盡管密鑰管理是一個附加的責任,但你不再需要管理PaaS部署中的某些區域,因此可將資源轉移到密鑰管理。
Azure平臺還使用各種基于網絡的技術提供強大的DDoS保護。但是,根據鏈路和數據中心的不同,所有類型的基于網絡的DDoS保護方法都有自身的限制。為了幫助避免大規模DDoS攻擊造成的影響,可以利用Azure的核心云功能快速自動擴展,以防御DDoS攻擊。在建議的實踐文章中,我們將更詳細地介紹如何采取這種措施。
革新防御者的思維方式
PaaS部署為整體安全方案帶來了變革。事必躬親的局面現在可以改為與Microsoft分擔責任。
PaaS與傳統本地部署之間的另一個重大差別在于,前者為主要安全邊界的界定因素提供了全新的視野。一直以來,主要的本地安全邊界就是網絡,大多數本地安全設計都使用網絡作為主要安全樞紐。在PaaS部署中,可將標識視為主要安全邊界,從而改善安全性。
采用標識用作主要安全邊界的策略
在云計算的五大基本特征中,一個特征就是網絡訪問范圍廣泛,這使得以網絡為中心的理念顯得有點毫不相干。許多云計算解決方案的目標是不管用戶身居何處,都能允許他們訪問資源。對于大多數用戶而言,他們的位置就是Internet上的某個節點。
下圖演示了安全邊界從網絡邊界演進成標識邊界的過程。安全性越來越少地與如何保護網絡相關,而更多地與如何保護數據,以及如何管理應用和用戶的安全性相關。兩者的關鍵差別在于如何為公司的重要資產提供更多的安全保障。
標識用作新的安全邊界
最初,Azure PaaS服務(例如Web角色和Azure SQL)提供的傳統網絡邊界防護措施很少,或者根本不提供。開發人員已認識到,設計元素的目的就是在Internet上公開(Web角色),而身份驗證可提供新的邊界(例如BLOB或Azure SQL)。
新式安全措施假設入侵者會突破網絡邊界。因此,新式防護措施已轉移到標識。組織必須使用強身份驗證和授權保護機制建立基于標識的安全邊界(最佳實踐)。
網絡邊界的原理和模式早在幾十年前就已建立。相比之下,行業在使用標識作為主要安全邊界的經驗相對缺乏。正因如此,我們累積了足夠的經驗,樂于提供已在現場得到證實的、適用于幾乎所有PaaS服務的一些普通建議。
下面是管理標識邊界的最佳做法。
最佳做法:保護密鑰和憑據以保護PaaS部署。
詳細信息:丟失密鑰和憑據是一個常見問題??梢允褂眉惺浇鉀Q方案,將密鑰和機密存儲在硬件安全模塊(HSM)中。Azure Key Vault通過使用受HSM保護的密鑰對身份驗證密鑰、存儲帳戶密鑰、數據加密密鑰、.pfx文件和密碼進行加密來保護你的密鑰和機密。
最佳做法:不要將憑據和其他機密放入源代碼或GitHub。
詳細信息:唯一比丟失密鑰和憑據更遭糕的事情是讓未經授權的一方獲取這些密鑰和憑據的訪問權限。攻擊者可以利用bot技術來查找GitHub等代碼存儲庫中存儲的密鑰和機密。請不要將密鑰和機密放入這些公共代碼存儲庫。
最佳做法:通過使用可以直接遠程管理這些VM的管理接口來保護混合PaaS和IaaS服務上的VM管理接口。
詳細信息:可以使用遠程管理協議,如SSH、RDP和PowerShell遠程處理。通常,我們建議不要從Internet啟用對VM的直接遠程訪問。
如果可以,請使用替代方法,例如在Azure虛擬網絡中使用虛擬專用網絡。如果其他方法不可用,請確保使用復雜的密碼和雙因素身份驗證(例如Azure AD多重身份驗證)。
最佳做法:使用強身份驗證和授權平臺。
詳細信息:在Azure AD而不是自定義用戶存儲中使用聯合標識。使用聯合標識時,可以利用基于平臺的方法,將已獲授權的標識的管理權限委托給合作伙伴。如果員工離職后,需要通過多個標識和授權系統反映該信息,則聯合標識方法就特別重要。
使用平臺提供的身份驗證和授權機制,而不要使用自定義代碼。原因是開發自定義身份驗證代碼可能很容易出錯。大部分開發人員都不是安全專家,不太可能會注意到身份驗證和授權的細微之處與最新開發情況。商業代碼(例如Microsoft編寫的代碼)通常會接受廣泛的安全性評審。
使用雙重身份驗證。雙重身份驗證是最新的身份驗證和授權標準,它避免了用戶名與密碼類型的身份驗證所固有的安全漏洞。應將對Azure管理(門戶/遠程PowerShell)接口和面向客戶的服務的訪問權限設計并配置為使用Azure AD多重身份驗證。
使用OAuth2和Kerberos等標準身份驗證協議。這些協議經過廣泛的同行評審,有時可實現為平臺庫的一部分用于身份驗證和授權。
在應用程序設計期間使用威脅建模
Microsoft安全開發生命周期指定團隊應在設計階段參與名為威脅建模的過程。為了幫助簡化此過程,Microsoft已創建SDL威脅建模工具。對應用程序設計進行建模,并在所有信任邊界中枚舉STRIDE威脅可能會及早捕獲設計錯誤。
下表列出了STRIDE威脅,并提供了一些使用Azure功能的示例緩解措施。這些緩解措施并非在每種情況下都起作用。
在Azure應用服務上開發
Azure App Service是一個PaaS產品,可創建適用于任何平臺或設備的Web和移動應用,并可連接到云中或本地任何位置的數據。應用服務所包括的Web功能和移動功能是以前作為Azure網站和Azure移動服務單獨交付的。它還包括各種新功能,可以實現業務流程的自動化,并可托管云API。應用服務以單個集成服務的形式為Web、移動和集成方案提供一組豐富的功能。
下面是使用應用服務的最佳做法。
最佳做法:通過Azure Active Directory進行身份驗證。
詳細信息:應用服務為標識提供者提供OAuth 2.0服務。OAuth 2.0注重簡化客戶端開發人員的工作,同時為Web應用程序、桌面應用程序和移動電話提供特定的授權流。Azure AD使用OAuth 2.0,可讓你授予移動和Web應用程序的訪問權限。
最佳做法:根據“需要知道”和“最低權限”安全原則限制訪問。
詳細信息:對于想要實施數據訪問安全策略的組織,限制訪問是必須要做的事。可以使用Azure RBAC向特定范圍內的用戶、組和應用程序分配權限。若要了解有關向用戶授予應用程序訪問權限的詳細信息,請參閱訪問管理入門。
最佳做法:保護密鑰。
詳細信息:Azure Key Vault可幫助保護云應用程序和服務使用的加密密鑰和機密。通過Key Vault,可以使用受硬件安全模塊(HSM)保護的密鑰,來加密密鑰和機密(例如身份驗證密鑰、存儲帳戶密鑰、數據加密密鑰、.PFX文件和密碼)。為了提升可靠性,可以在HSM中導入或生成密鑰。請參閱Azure Key Vault了解詳細信息。還可以使用Key Vault和自動續訂來管理TLS證書。
最佳做法:限制傳入的源IP地址。
詳細信息:應用服務環境提供虛擬網絡集成功能,可幫助你通過網絡安全組限制傳入的源IP地址。使用虛擬網絡可將Azure資源置于可以控制其訪問權限但無法通過Internet路由的網絡中。若要了解詳細信息,請參閱將應用與Azure虛擬網絡集成。
最佳做法:監視應用服務環境的安全狀態。
詳細信息:使用Azure安全中心監視應用服務環境。在安全中心識別潛在的安全漏洞時,它會創建一些建議,這些建議會指導完成配置所需控件的過程。
備注
監視應用服務的功能以預覽版提供,僅適用于安全中心的標準層。
安裝Web應用程序防火墻
Web應用程序已逐漸成為利用常見已知漏洞的惡意攻擊的目標。這些攻擊中最常見的攻擊包括SQL注入攻擊、跨站點腳本攻擊等。防止應用程序代碼中的此類攻擊頗具挑戰性,可能需要在應用程序拓撲的多個層進行嚴格的維護、修補和監視。集中式Web應用程序防火墻有助于大幅簡化安全管理,為抵卸威脅或入侵的應用程序管理員提供更好的保障。相較保護每個單獨的Web應用程序,WAF解決方案還可通過在中央位置修補已知漏洞,更快地響應安全威脅??蓪F有應用程序網關輕松轉換為支持Web應用程序防火墻的應用程序網關。
Web應用程序防火墻(WAF)是應用程序網關的功能,可以對Web應用程序進行集中保護,避免其受到常見的攻擊和漏洞危害。WAF基于開放Web應用程序安全項目(OWASP)核心規則集3.0或2.2.9中的規則。
監視應用程序的性能
監視是一種數據收集和分析操作,用于確定應用程序的性能、運行狀況及可用性。有效的監視策略有助于了解應用程序組件的詳細運行狀況,它有助于向你發快遞關鍵情況的通知,讓你在這些情況成為問題之前解決它們,從而提高運行時間。它還有助于檢測可能與安全相關的異常。
使用Azure Application Insights監視應用程序的可用性、性能和使用情況,不管其是托管在云中還是在本地。通過使用Application Insights,可以快速確定并診斷應用程序中的錯誤,而無需等待用戶報告這些錯誤。利用所收集的信息,可作出有關應用程序維護和優化的明智抉擇。
Application Insights提供各種可以與所收集的數據交互的工具。Application Insights在公用存儲庫中存儲其數據。它可以通過Kusto查詢語言充分利用各種共享功能,例如警報、儀表板和深入分析。
執行安全滲透測試
驗證安全防御與測試任何其他功能一樣重要。將滲透測試規定為生成和部署過程的標準組成部分。針對已部署應用程序對定期安全測試和漏洞掃描進行計劃,并監視打開的端口、終結點和攻擊活動。
模糊測試是一種通過將格式錯誤的輸入數據提供給分析并使用此數據的程序接口(入口點)來查找程序故障(代碼錯誤)的方法。Microsoft安全風險檢測是一種基于云的工具,可以在將軟件部署到Azure之前,使用該工具查找軟件中的bug和其他安全漏洞。該工具設計為在部署軟件前捕獲漏洞,因此你無需在軟件發布后修補bug、處理崩潰或響應攻擊。
特別聲明:以上文章內容僅代表作者本人觀點,不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。
二維碼加載中...
使用微信掃一掃登錄
使用賬號密碼登錄
平臺顧問
微信掃一掃
馬上聯系在線顧問
小程序
ESG跨境小程序
手機入駐更便捷
返回頂部