SaaS和PaaS提供商增加软件开发云安全风险

将遗留应用程序迁移到平台即服务(PaaS)公共云产品,或将遗留数据转入软件即服务(SaaS)应用,其中的好处之一就是获得额外的安全服务。然而,应用云通常会增加企业的安全责任,特别是开发团队,并带来新的风险。其中的一些风险和责任在所有公共云类型中常见,而有一些对于SaaS或PaaS提供商来说是独一无二的。

无论是选择PaaS还是SaaS,数据都将转移到企业防火墙之外,Denim Group是一家软件安全咨询公司负责人Dan Cornell说这会让“灾难性事件发生几率更大。”黑客们越来越关注于数据,而不是破坏系统,并且黑客们变得更加有经验和创新。

451 Research的一个研究部门Tier1 Research的基础设施和云计算的分析师Carl Brooks说,将数据放在一个共享的公共云也可以产生一些关于其他使用相同服务的偏执的人。在迁移数据之前,询问SaaS供应商是如何防止信息泄露给另一个客户。别人能修改我的数据吗?

为了防止产生偏执,分析师James Staten将个人安全与云安全相比。Forrester Research的副总裁Staten说:“在你家里抢劫比试图在一个体育场找到你更容易。云通过混淆提供安全。”同样,对于一个黑客来说,获取一个公司的数据比在公共云中发现该公司更加容易。他说这是一个使公共云更加安全的特性。

让公共云提供商在服务水平协议(SLA)中负责物理和网络安全,是因为专家说这是企业可以稍微发挥控制的两个领域。然后,认识到企业自身担负着安全的主要责任。Brooks说最佳安全实践的关键在于开发;即在应用开发和部署的所有阶段建立安全需求。

日常的企业安全实践价值也是如此。Staten 说:“让所有端口打开,并且暴露出所有的IP地址,企业数据在云中比在数据中心更加脆弱,但是那是你自己的错,而不是云的错。”

公共云安全问题止于开发

Cornell说开发团队对企业安全立场有着最大的影响,不论是在内部还是在云中。他们很了解他们应用程序的漏洞,以及哪些弱点在共享环境中会被利用。

讽刺的是, 专家说,但企业开发人员的安全职责减少时,公共云主流化,由于自动化IT人员使得数据中心的安全系统更加专业化、成熟。现在,云正将包括QA和DevOps的开发团队推动到传统的冗余安全编码和更广阔的安全测试中。

考虑到云安全,必须创建一个超大测试实践的超集。Cornell说标准的企业测试,通常为单租户Web应用设计,不足以为多租户公共云设计。

SaaS数据和应用安全

应用访问是SaaS云安全热点。当测试与多租户SaaS应用程序冲突时,身份验证和授权测试优先。访问安全的责任依赖于SaaS提供商和企业。

Cornell说测试和开发团队必须考查供应商,以确保他们正在实施适当的控制。用SaaS服务水平协议设置测试权利和责任。Brooks说了解数据转移到SaaS云应用程序之前,期间以及之后,每一方将做哪些测试。

Cornell已经看到组织的SLA规定,他们的团队将有权测试SaaS提供商的安全。他说例如,他们保留在季度派遣测试人员试图闯入SaaS系统的权利,并且要求任何他们识别的漏洞都能被修复。

Brooks说SLA中, SaaS提供商负责运行测试和修复缺陷的责任细节。没有书面文档,就很难把漏洞修复。他说:“否则,除了客户满意度,客户就没有杠杆使供应商采取行动。”

好消息是,SaaS是一个成熟的技术,有许多成熟的提供商。同时,SaaS提供商比大多数个人组织有更高的安全预算。 

市场潮流中的PaaS安全

PaaS是一个用于承载应用程序、存储和开发实验室的平台, 专家说所有数据保护的领域是至关重要的。PaaS供应商的加密、数据可用性和API关键安全能力——所有传统的企业开发人员的责任—采用之前必须仔细地分析。专家说确保PaaS提供商的框架、代码库、缺陷跟踪、版本控制和其他应用程序生命周期管理工具和企业是兼容的。同时,PaaS提供商应该为改善这些流程,提供一个被设置在SLA的路线图。

虽然PaaS提供商的安全能力测试是重要的,研究其稳定性和字符应该占据中心位置。与SaaS的成熟、完善的供应商基础相比—想想Salesforce.com—PaaS相当于蛮荒的美国西部。Brooks 说“一方面,你有PaaS初创公司、谷歌和亚马逊,有20人坐在一个小房间,吃薯片和工作20小时,做一些创新的工作”。

组织的稳定和金融力量可能会起破坏作用,Cornell已经看到组织不得不放弃PaaS启动,虽然它为他们特定的业务问题提供了一个强大的解决方案。

Cornell说:“更小的PaaS提供商通常没有一个巨大的像亚马逊那样的稳定金融。”这并不是说较小的提供商更不安全,简单来说,有不同的金融稳定性的风险方程。为了抵御这种风险,企业开发人员必须编纂如果以及如何阻止他们的代码成为破产的提供者的系统。同时,Cornell建议在进入到自定义任务关键型应用程序开发之前,在PaaS服务之上,应该构建更小的应用程序。

有些PaaS产品只是穿着云服装的虚拟化系统。Brooks 说:“他们重新利用那些并不是为了在云中运行的技术。”经常看到他们修改之前被一个用户或组织使用过的系统。

Brooks说:“这些技术大多数是为了用在一切运行在防火墙内部的地方,是可信的,或至少与信任相同级别”。他们不只是关注于人们上传恶意代码到他们的PaaS部分,也关注于提供能让开发人员运行他们代码的功能。他说“恶意代码会环顾四周,看是否能看到其他合法用户的数据,或操纵那些合法用户正在运行的过程。”

相关推荐