平臺(tái)即服務(wù)（PaaS）天生存在會(huì)被黑客鉆空子的安全漏洞。為了緩解這個(gè)風(fēng)險(xiǎn)，你應(yīng)該考慮采用深層防御（defense-in-depth）方法。這種方法讓你可以建立多層防御機(jī)制，以便在黑客與攻擊目標(biāo)之間設(shè)置重重障礙。

你不能單單依賴一種安全機(jī)制來阻止黑客――其實(shí)需要多層其他機(jī)制來保護(hù)PaaS，遠(yuǎn)離不同類型的攻擊。你應(yīng)該借助提供更強(qiáng)大障礙的其他機(jī)制，彌補(bǔ)某一種機(jī)制的天生弱點(diǎn)。

深層防御方法

傳統(tǒng)的深層防御技術(shù)適用于全面控制其IT基礎(chǔ)設(shè)施（包括物理服務(wù)器和網(wǎng)絡(luò)）的公司。至于PaaS深層防御，你只能享有PaaS提供商賦予你的控制權(quán)。

PaaS提供商讓開發(fā)人員可以在PaaS上構(gòu)建、測(cè)試、部署且運(yùn)行軟件即服務(wù)（SaaS）應(yīng)用程序。開發(fā)人員可以改變?cè)谄髽I(yè)內(nèi)部開發(fā)的應(yīng)用程序的行為，讓應(yīng)用程序在PaaS上可以順利運(yùn)行，然后設(shè)置用戶閾值水平，以便其團(tuán)隊(duì)成員能夠并行使用PaaS。

開發(fā)人員可以使用筆記本電腦或移動(dòng)設(shè)備，遠(yuǎn)程訪問PaaS。PaaS提供商并不允許開發(fā)人員控制在PaaS上運(yùn)行應(yīng)用程序所需要的操作系統(tǒng)、物理服務(wù)器或網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

PaaS深層防御生命周期的四個(gè)階段

1. 資產(chǎn)識(shí)別階段

想建立多層防御機(jī)制，識(shí)別資產(chǎn)是第一步。你需要將這些資產(chǎn)分為用戶資產(chǎn)、云資產(chǎn)、數(shù)據(jù)資產(chǎn)、管理資產(chǎn)、軟件資產(chǎn)、環(huán)境資產(chǎn)和硬件資產(chǎn)。

•用戶資產(chǎn)包括：PaaS開發(fā)人員、測(cè)試人員、策略制定者，可能還有服務(wù)級(jí)別協(xié)議（SLA）經(jīng)理。風(fēng)險(xiǎn)經(jīng)理和PaaS操作員讓團(tuán)隊(duì)結(jié)構(gòu)顯得很完整。

•云資產(chǎn)包括：PaaS提供商（比如微軟Azure）以及PaaS運(yùn)行在其中的基礎(chǔ)設(shè)施即服務(wù)（IaaS）的類型。IaaS可能是專有的，也可能是開源的。

•數(shù)據(jù)資產(chǎn)包括：數(shù)據(jù)敏感性（非機(jī)密數(shù)據(jù)和機(jī)密數(shù)據(jù)）、人員、業(yè)務(wù)交易及與PaaS直接有關(guān)的其他日常操作。

•管理資產(chǎn)包括：說明文檔、用戶參考手冊(cè)、庫存記錄和操作規(guī)程。這類資產(chǎn)還包括：生命周期規(guī)程、災(zāi)難恢復(fù)方案、用戶許可證、標(biāo)準(zhǔn)以及與其他有關(guān)方有關(guān)的SLA圖。

•軟件資產(chǎn)包括：應(yīng)用程序、測(cè)試工具和日志選項(xiàng)列表。

•環(huán)境資產(chǎn)涉及環(huán)境系統(tǒng)、大樓、備份設(shè)施、空調(diào)、采暖和供水系統(tǒng)。你在使用PaaS時(shí)需要處于一個(gè)舒適區(qū)。

•硬件資產(chǎn)包括：公司發(fā)放或公司批準(zhǔn)的可遠(yuǎn)程訪問PaaS的個(gè)人筆記本電腦和移動(dòng)設(shè)備。這類資產(chǎn)并不包括物理服務(wù)器和網(wǎng)絡(luò)的底層的IaaS基礎(chǔ)設(shè)施。

2. 對(duì)手識(shí)別階段

下一步是識(shí)別哪些可能是你的對(duì)手。可能面臨的對(duì)手包括：個(gè)人、恐怖組織和國家。對(duì)手有可能：

•悄無聲息地被動(dòng)監(jiān)控PaaS開發(fā)人員、測(cè)試人員、策略制定者和業(yè)務(wù)分析師之間的聯(lián)系；

•利用社會(huì)工程學(xué)伎倆，竊取或訪問PaaS硬件資產(chǎn)；

•對(duì)云資源發(fā)送大量的過剩數(shù)據(jù)包，導(dǎo)致對(duì)PaaS發(fā)動(dòng)拒絕服務(wù)攻擊；

•將惡意軟件惡意植入PaaS故障切換算法；以及

•直接攻擊用來控制PaaS網(wǎng)絡(luò)流量的軟件定義網(wǎng)絡(luò)（SDN）控制器。

3. 防御層次階段

你需要設(shè)置障礙，以趕跑對(duì)手。下面是設(shè)置每一層防御的要點(diǎn)。

針對(duì)被動(dòng)攻擊，

•第一道防線是讓流量先通過PaaS里面的安全防火墻。

•第二道防線是PaaS訪問控制機(jī)制。

針對(duì)內(nèi)部攻擊，

•第一道防線是PaaS物理安全和人員安全；

•第二道防線是PaaS訪問控制機(jī)制。

針對(duì)鄰近攻擊，

•第一道防線是物理安全和人員安全；

•第二道防線是反技術(shù)偵察措施。

針對(duì)分發(fā)攻擊，

•第一道防線是可信的開發(fā)和應(yīng)用程序部署。

•第二道防線是完整性和機(jī)密性控制機(jī)制。

針對(duì)主動(dòng)攻擊，

•第一道防線是部署嵌套式防火墻、反病毒軟件和入侵檢測(cè)工具。

•第二道防線是PaaS用戶身份驗(yàn)證控制措施和故障切換機(jī)制。

4．評(píng)審階段

你應(yīng)該定期評(píng)審深層防御，因?yàn)榭赡軙?huì)出現(xiàn)新的攻擊類型，需要部署更多的防線。另外，市面上可能會(huì)出現(xiàn)更經(jīng)濟(jì)高效的技術(shù)，它們可能會(huì)改變防線的次序（比如由第二道防線變成第一道防線）。最后，用戶在需要設(shè)置哪些障礙來阻礙對(duì)手方面的認(rèn)識(shí)也會(huì)有所變化。

結(jié)束語

想保護(hù)PaaS，設(shè)置層層防御是最穩(wěn)妥的做法。一種安全機(jī)制的天生弱點(diǎn)可以借助其他機(jī)制為對(duì)手設(shè)置更有效的障礙這一優(yōu)點(diǎn)來克服。

布加迪編譯

英文原文鏈接：http://www.techrepublic.com/article/protect-a-paas-from-hackers-with-four-phases-of-defense/