使用PaaS實(shí)現(xiàn)更好的云應(yīng)用安全性

責(zé)任編輯:editor005

作者:滕曉龍翻譯

2015-10-09 14:27:23

摘自:TechTarget中國(guó)

如今,最流行的云計(jì)算模式就是基礎(chǔ)設(shè)施即服務(wù)(IaaS),但是它并不總是云應(yīng)用安全的最佳模式。因?yàn)閼?yīng)用程序是采用中間件工具進(jìn)行開(kāi)發(fā)的,所以如果組合中間件支持應(yīng)用程序過(guò)于復(fù)雜,那么就會(huì)迅速蠕變形成安全性問(wèn)題和錯(cuò)誤。

如今,最流行的云計(jì)算模式就是基礎(chǔ)設(shè)施即服務(wù)(IaaS),但是它并不總是云應(yīng)用安全的最佳模式。很多用戶都知道平臺(tái)即服務(wù)(PaaS)和軟件即服務(wù)(SaaS)可以實(shí)現(xiàn)較好的成本節(jié)約,尤其對(duì)于那些無(wú)法訪問(wèn)高技能云計(jì)算技術(shù)資源的用戶來(lái)說(shuō),更是如此。大多數(shù)人都不知道,PaaS尤其能夠提供更高的安全性,甚至對(duì)于那些熟練用戶來(lái)說(shuō),這也是一個(gè)具有決定性意義的好處。為了從PaaS安全性中獲得更多的好處,我們應(yīng)了解IaaS和 PaaS之間的基本安全性差異,并選擇具有良好安全意識(shí)的PaaS供應(yīng)商,開(kāi)發(fā)應(yīng)用程序以求實(shí)現(xiàn)PaaS云應(yīng)用安全性的最大化,當(dāng)規(guī)劃新的云應(yīng)用和遷移時(shí),考慮采用PaaS模式。

使用PaaS實(shí)現(xiàn)更好的云應(yīng)用安全性

因?yàn)閼?yīng)用程序是采用中間件工具進(jìn)行開(kāi)發(fā)的,所以如果組合中間件支持應(yīng)用程序過(guò)于復(fù)雜,那么就會(huì)迅速蠕變形成安全性問(wèn)題和錯(cuò)誤。在IaaS中,每一個(gè)應(yīng)用程序都集成在機(jī)器鏡像中,而鏡像中還包括了操作系統(tǒng)和中間件。很少有(如果有的話)云計(jì)算服務(wù)會(huì)在集成所有應(yīng)用程序和組件的鏡像上,所以所有鏈接應(yīng)用程序、識(shí)別和驗(yàn)證組件身份以及管理數(shù)據(jù)安全性的步驟都可能是由各種機(jī)器鏡像的共同合作而完成的。

PaaS可方便實(shí)現(xiàn)安全性措施與管理

在一個(gè)PaaS云計(jì)算中,一個(gè)常見(jiàn)的中間件堆棧是由服務(wù)組成的,應(yīng)用程序可以使用這些服務(wù)來(lái)確保組件的安全性、連接和移動(dòng)工作,甚至管理與合作組織的交流。應(yīng)用程序是在這個(gè)堆棧上進(jìn)行開(kāi)發(fā)的,所以有一個(gè)通用的功能集可供使用。這種方法可實(shí)現(xiàn)應(yīng)用程序開(kāi)發(fā)、部署和管理之間的協(xié)調(diào)并進(jìn),從而有助于安全性措施和管理的實(shí)現(xiàn)。

這一差異性的最顯著影響是,PaaS幾乎總是包括了一個(gè)安全性和訪問(wèn)的控制套件,這個(gè)套件在所有托管點(diǎn)、數(shù)據(jù)庫(kù)服務(wù)以及應(yīng)用程序和組件中都是一致的。雖然在IaaS中也可以提供這樣的套件,但是它真的是一個(gè)托管在云計(jì)算中的內(nèi)部部署安全和訪問(wèn)管理工具,而不是一個(gè)專為解決公共托管特殊風(fēng)險(xiǎn)的云計(jì)算工具。

PaaS的一個(gè)不太明顯的好處是通用的工作流程和數(shù)據(jù)庫(kù)管理方法。開(kāi)發(fā)人員通常會(huì)開(kāi)發(fā)適合他們使用的工具。這就意味著,接口、數(shù)據(jù)庫(kù)安全性以及加密等等方面在具體實(shí)施時(shí)都是各不相同的,其中開(kāi)發(fā)者平臺(tái)提供了多樣化的選擇。IaaS并不會(huì)限制操作系統(tǒng)的標(biāo)識(shí),它有著較少的版本和中間件工具,從而引入不同的方法。

PaaS提供了標(biāo)準(zhǔn)化的工具

如今的應(yīng)用程序是高度集成化的,可提供與商務(wù)活動(dòng)相關(guān)的高效工作流程。如果所有支持特定業(yè)務(wù)流程的應(yīng)用程序都是基于不同操作系統(tǒng)和中間件工具的,那么云計(jì)算對(duì)于應(yīng)用程序的支持將不得不沿用所有的這些方法以全面確保應(yīng)用程序的安全性。通過(guò)使用PaaS,用于應(yīng)用程序連接和工作流程的工具是更加標(biāo)準(zhǔn)化和更易于維護(hù)。

黑客需要黑進(jìn)應(yīng)用程序或系統(tǒng)才能做壞事,這就意味著接口安全性是至關(guān)重要的。通過(guò)使用IaaS,接口有機(jī)會(huì)暴露在黑客面前的途徑將更具可變性了,因此,保護(hù)接口的措施也變得更為復(fù)雜。因?yàn)镮aaS中的操作系統(tǒng)和中間件必須使用相同的方法進(jìn)行管理,就如同系統(tǒng)是在數(shù)據(jù)中心中運(yùn)行的一樣,那么這些接口必須被暴露出來(lái)。這使得他們更易于受到攻擊。通過(guò)使用PaaS,云計(jì)算供應(yīng)商就能夠使用與確保云計(jì)算管理接口本身安全性相同的措施來(lái)確保操作系統(tǒng)和中間件管理接口的安全性,從而減少可能必須被保留的漏洞的數(shù)量。

在云應(yīng)用中,一些安全性漏洞都是被故意保留的;用戶通常會(huì)為客戶和供應(yīng)商提供門戶網(wǎng)站以便于與他們進(jìn)行信息交換。在IaaS中,系統(tǒng)并沒(méi)有為這些門戶網(wǎng)站提供創(chuàng)建和保護(hù)的具體方法,所以它們可能是風(fēng)險(xiǎn)的主要來(lái)源。在至少更“結(jié)構(gòu)化”的PaaS系統(tǒng)中,有著一個(gè)對(duì)用戶進(jìn)行分類的“角色”和“執(zhí)行者”的概念,它可讓管理員用一種有組織的方法來(lái)設(shè)置權(quán)限。在PaaS平臺(tái)軟件的控制下,這些權(quán)限可在所有系統(tǒng)、應(yīng)用程序和數(shù)據(jù)庫(kù)中有效。

所有的PaaS方法都不是生來(lái)平等的

并不是所有的PaaS方法都是相同的,同樣,它們所帶來(lái)云應(yīng)用安全性好處也不會(huì)是完全相同的。一般情況下,PaaS云計(jì)算可被分為三類完整操作系統(tǒng)和軟件框架(例如微軟公司的Azure)、根據(jù)組件依賴性組裝中間件的“適應(yīng)性”PaaS框架(例如被惠普公司收購(gòu)的Stackato)以及 “連接的”PaaS框架(如亞馬遜的AWS)。

如果安全性和訪問(wèn)控制對(duì)于您的云應(yīng)用安全性是特別重要的,那么您將需要一個(gè)提供完整操作系統(tǒng)和中間件工具的PaaS策略,并將其作為平臺(tái)的一部分或通過(guò)相關(guān)性分析??蛇x的附加功能將抵消PaaS 所具有的“共性”優(yōu)勢(shì),因此平臺(tái)也會(huì)允許應(yīng)用程序開(kāi)發(fā)人員使用他們自己選擇的產(chǎn)品來(lái)彌補(bǔ)平臺(tái)中間件的功能不足。

當(dāng)然,PaaS很難采用一個(gè)無(wú)法在通用平臺(tái)上運(yùn)行的應(yīng)用程序。如果您無(wú)法使用PaaS,那么可以在一個(gè)通用工作流程、組件接口和數(shù)據(jù)庫(kù)服務(wù)策略基礎(chǔ)之上嘗試運(yùn)行所有的應(yīng)用程序。通過(guò)強(qiáng)制推行平臺(tái)類標(biāo)準(zhǔn),您的IaaS至少可以近乎地實(shí)現(xiàn)某種安全等級(jí)和PaaS提供的“可管理性”。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)