保护 PaaS 部署,paas平台本地化部署-ESG跨境

保护 PaaS 部署,paas平台本地化部署

保护 PaaS 部署

参考本文中的信息，可以：

了解云中的托管应用程序的安全优势

评估平台即服务(PaaS)相比其他云服务模型的安全优势

将安全重心从以网络为中心的方案转换为以标识为中心的外围安全方案

实施一般的PaaS安全最佳实践建议

开发适用于云的应用程序时，在软件开发生命周期的每个阶段应考虑的安全问题和控制措施是一般的指导。

云的安全优势

请务必了解你与Microsoft之间的责任分工。在本地，拥有整个堆栈，但迁移到云后，某些责任将转移到Microsoft。

转移到云中可带来一定的安全优势。在本地环境中，组织的可用资源可能有限，无法尽责在安全措施上投资，使得攻击者能够利用所有层中的漏洞。

组织可以使用提供商的基于云的安全功能和云智能来改善其威胁检测和响应时间。通过将责任转移到云提供商，组织可以扩大安全覆盖范围，为其他优先业务重新调配安全资源与预算。

PaaS云服务模型的安全优势

让我们来了解一下Azure PaaS部署相比本地部署的安全优势。

PaaS的安全优势

从堆栈的底部（即物理基础结构）开始，Microsoft可以消除常见的风险和管理责任。由于Microsoft云受到Microsoft的持续监视，因此很难攻破。攻击者将Microsoft云当作攻击目标是不会得逞的。他们往往会改换目标，除非他们有大量的金钱和资源。

在堆栈的中间，PaaS部署与本地之间没有差别。在应用程序层和帐户与访问管理层，面临的风险是类似的。本文的后续步骤部分将提供有关消除或尽量避免这些风险的最佳实践指导。

堆栈的顶层（即数据监管和权限管理）存在一种风险，不过可以使用密钥管理来缓解。（最佳实践中介绍了密钥管理。）尽管密钥管理是一个附加的责任，但你不再需要管理PaaS部署中的某些区域，因此可将资源转移到密钥管理。

Azure平台还使用各种基于网络的技术提供强大的DDoS保护。但是，根据链路和数据中心的不同，所有类型的基于网络的DDoS保护方法都有自身的限制。为了帮助避免大规模DDoS攻击造成的影响，可以利用Azure的核心云功能快速自动扩展，以防御DDoS攻击。在建议的实践文章中，我们将更详细地介绍如何采取这种措施。

革新防御者的思维方式

PaaS部署为整体安全方案带来了变革。事必躬亲的局面现在可以改为与Microsoft分担责任。

PaaS与传统本地部署之间的另一个重大差别在于，前者为主要安全边界的界定因素提供了全新的视野。一直以来，主要的本地安全边界就是网络，大多数本地安全设计都使用网络作为主要安全枢纽。在PaaS部署中，可将标识视为主要安全边界，从而改善安全性。

采用标识用作主要安全边界的策略

在云计算的五大基本特征中，一个特征就是网络访问范围广泛，这使得以网络为中心的理念显得有点毫不相干。许多云计算解决方案的目标是不管用户身居何处，都能允许他们访问资源。对于大多数用户而言，他们的位置就是Internet上的某个节点。

下图演示了安全边界从网络边界演进成标识边界的过程。安全性越来越少地与如何保护网络相关，而更多地与如何保护数据，以及如何管理应用和用户的安全性相关。两者的关键差别在于如何为公司的重要资产提供更多的安全保障。

标识用作新的安全边界

最初，Azure PaaS服务（例如Web角色和Azure SQL）提供的传统网络边界防护措施很少，或者根本不提供。开发人员已认识到，设计元素的目的就是在Internet上公开（Web角色），而身份验证可提供新的边界（例如BLOB或Azure SQL）。

新式安全措施假设入侵者会突破网络边界。因此，新式防护措施已转移到标识。组织必须使用强身份验证和授权保护机制建立基于标识的安全边界（最佳实践）。

网络边界的原理和模式早在几十年前就已建立。相比之下，行业在使用标识作为主要安全边界的经验相对缺乏。正因如此，我们累积了足够的经验，乐于提供已在现场得到证实的、适用于几乎所有PaaS服务的一些普通建议。

下面是管理标识边界的最佳做法。

最佳做法：保护密钥和凭据以保护PaaS部署。

详细信息：丢失密钥和凭据是一个常见问题。可以使用集中式解决方案，将密钥和机密存储在硬件安全模块(HSM)中。Azure Key Vault通过使用受HSM保护的密钥对身份验证密钥、存储帐户密钥、数据加密密钥、.pfx文件和密码进行加密来保护你的密钥和机密。

最佳做法：不要将凭据和其他机密放入源代码或GitHub。

详细信息：唯一比丢失密钥和凭据更遭糕的事情是让未经授权的一方获取这些密钥和凭据的访问权限。攻击者可以利用bot技术来查找GitHub等代码存储库中存储的密钥和机密。请不要将密钥和机密放入这些公共代码存储库。

最佳做法：通过使用可以直接远程管理这些VM的管理接口来保护混合PaaS和IaaS服务上的VM管理接口。

详细信息：可以使用远程管理协议，如SSH、RDP和PowerShell远程处理。通常，我们建议不要从Internet启用对VM的直接远程访问。

如果可以，请使用替代方法，例如在Azure虚拟网络中使用虚拟专用网络。如果其他方法不可用，请确保使用复杂的密码和双因素身份验证(例如Azure AD多重身份验证)。

最佳做法：使用强身份验证和授权平台。

详细信息：在Azure AD而不是自定义用户存储中使用联合标识。使用联合标识时，可以利用基于平台的方法，将已获授权的标识的管理权限委托给合作伙伴。如果员工离职后，需要通过多个标识和授权系统反映该信息，则联合标识方法就特别重要。

使用平台提供的身份验证和授权机制，而不要使用自定义代码。原因是开发自定义身份验证代码可能很容易出错。大部分开发人员都不是安全专家，不太可能会注意到身份验证和授权的细微之处与最新开发情况。商业代码（例如Microsoft编写的代码）通常会接受广泛的安全性评审。

使用双重身份验证。双重身份验证是最新的身份验证和授权标准，它避免了用户名与密码类型的身份验证所固有的安全漏洞。应将对Azure管理(门户/远程PowerShell)接口和面向客户的服务的访问权限设计并配置为使用Azure AD多重身份验证。

使用OAuth2和Kerberos等标准身份验证协议。这些协议经过广泛的同行评审，有时可实现为平台库的一部分用于身份验证和授权。

在应用程序设计期间使用威胁建模

Microsoft安全开发生命周期指定团队应在设计阶段参与名为威胁建模的过程。为了帮助简化此过程，Microsoft已创建SDL威胁建模工具。对应用程序设计进行建模，并在所有信任边界中枚举STRIDE威胁可能会及早捕获设计错误。

下表列出了STRIDE威胁，并提供了一些使用Azure功能的示例缓解措施。这些缓解措施并非在每种情况下都起作用。

在Azure应用服务上开发

Azure App Service是一个PaaS产品，可创建适用于任何平台或设备的Web和移动应用，并可连接到云中或本地任何位置的数据。应用服务所包括的Web功能和移动功能是以前作为Azure网站和Azure移动服务单独交付的。它还包括各种新功能，可以实现业务流程的自动化，并可托管云API。应用服务以单个集成服务的形式为Web、移动和集成方案提供一组丰富的功能。

下面是使用应用服务的最佳做法。

最佳做法：通过Azure Active Directory进行身份验证。

详细信息：应用服务为标识提供者提供OAuth 2.0服务。OAuth 2.0注重简化客户端开发人员的工作，同时为Web应用程序、桌面应用程序和移动电话提供特定的授权流。Azure AD使用OAuth 2.0，可让你授予移动和Web应用程序的访问权限。

最佳做法：根据“需要知道”和“最低权限”安全原则限制访问。

详细信息：对于想要实施数据访问安全策略的组织，限制访问是必须要做的事。可以使用Azure RBAC向特定范围内的用户、组和应用程序分配权限。若要了解有关向用户授予应用程序访问权限的详细信息，请参阅访问管理入门。

最佳做法：保护密钥。

详细信息：Azure Key Vault可帮助保护云应用程序和服务使用的加密密钥和机密。通过Key Vault，可以使用受硬件安全模块(HSM)保护的密钥，来加密密钥和机密（例如身份验证密钥、存储帐户密钥、数据加密密钥、.PFX文件和密码）。为了提升可靠性，可以在HSM中导入或生成密钥。请参阅Azure Key Vault了解详细信息。还可以使用Key Vault和自动续订来管理TLS证书。

最佳做法：限制传入的源IP地址。

详细信息：应用服务环境提供虚拟网络集成功能，可帮助你通过网络安全组限制传入的源IP地址。使用虚拟网络可将Azure资源置于可以控制其访问权限但无法通过Internet路由的网络中。若要了解详细信息，请参阅将应用与Azure虚拟网络集成。

最佳做法：监视应用服务环境的安全状态。

详细信息：使用Azure安全中心监视应用服务环境。在安全中心识别潜在的安全漏洞时，它会创建一些建议，这些建议会指导完成配置所需控件的过程。

备注

监视应用服务的功能以预览版提供，仅适用于安全中心的标准层。

安装Web应用程序防火墙

Web应用程序已逐渐成为利用常见已知漏洞的恶意攻击的目标。这些攻击中最常见的攻击包括SQL注入攻击、跨站点脚本攻击等。防止应用程序代码中的此类攻击颇具挑战性，可能需要在应用程序拓扑的多个层进行严格的维护、修补和监视。集中式Web应用程序防火墙有助于大幅简化安全管理，为抵卸威胁或入侵的应用程序管理员提供更好的保障。相较保护每个单独的Web应用程序，WAF解决方案还可通过在中央位置修补已知漏洞，更快地响应安全威胁。可将现有应用程序网关轻松转换为支持Web应用程序防火墙的应用程序网关。

Web应用程序防火墙(WAF)是应用程序网关的功能，可以对Web应用程序进行集中保护，避免其受到常见的攻击和漏洞危害。WAF基于开放Web应用程序安全项目(OWASP)核心规则集3.0或2.2.9中的规则。

监视应用程序的性能

监视是一种数据收集和分析操作，用于确定应用程序的性能、运行状况及可用性。有效的监视策略有助于了解应用程序组件的详细运行状况，它有助于向你发快递关键情况的通知，让你在这些情况成为问题之前解决它们，从而提高运行时间。它还有助于检测可能与安全相关的异常。

使用Azure Application Insights监视应用程序的可用性、性能和使用情况，不管其是托管在云中还是在本地。通过使用Application Insights，可以快速确定并诊断应用程序中的错误，而无需等待用户报告这些错误。利用所收集的信息，可作出有关应用程序维护和优化的明智抉择。

Application Insights提供各种可以与所收集的数据交互的工具。Application Insights在公用存储库中存储其数据。它可以通过Kusto查询语言充分利用各种共享功能，例如警报、仪表板和深入分析。

执行安全渗透测试

验证安全防御与测试任何其他功能一样重要。将渗透测试规定为生成和部署过程的标准组成部分。针对已部署应用程序对定期安全测试和漏洞扫描进行计划，并监视打开的端口、终结点和攻击活动。

模糊测试是一种通过将格式错误的输入数据提供给分析并使用此数据的程序接口（入口点）来查找程序故障（代码错误）的方法。Microsoft安全风险检测是一种基于云的工具，可以在将软件部署到Azure之前，使用该工具查找软件中的bug和其他安全漏洞。该工具设计为在部署软件前捕获漏洞，因此你无需在软件发布后修补bug、处理崩溃或响应攻击。

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。