如何实现云计算PaaS安全性（云计算安全性如何保证）

当谈及安全性和云计算模型时，平台即服务(PaaS)有着它自己特殊的挑战。与其他的云计算模型不同，PaaS安全性所要求的利用程序安全性专业知识常常是大多数公司没法投入巨资就可以够具有的。这个问题很复杂，由于众多公司都使用“进驻式”基础设施级安全控制战略作为利用程序级安全性风险的应对措施(举例来看，一旦利用程序代码发布生产，使用WAF以减缓所发现的跨网站脚本程序或其他前端问题)。由于缺少对PaaS中底层基础设施的控制，这一战略在PaaS部署利用中变得不具实际操作性。

　　斟酌到PaaS与控制相干的变通性，你必须对底层计算环境具有一定的控制能力。犹如IaaS一样，PaaS提供了近乎无穷的设计变通性：你可以基于社交网站构造任何利用，以实现内联网网站或CRM利用程序。但是，与IaaS不同的是，利用程序下的“堆栈”是不透明的，这就意味着支持利用程序的组件和基础设施都是(针对设计)一个“黑盒”。也就是说，与SaaS类似，安全性控制必须内置于利用程序本身中;但与SaaS中服务供应商通常实行利用于所有客户的利用程序级安全控制不同的是，在IaaS中安全控制措施是针对你的利用程序的。这就意味着必须由你自己承当责任以肯定那些控制措施是适合的并履行具体的实行。

　　对那些在利用程序安全方面已投入巨资的组织来讲，他们具有固定满编训练有素的开发人员，独立的开发、测试和生产流程，所以应对PaaS安全性问题应当是驾轻就熟的。而那些还未作出这些投资的机构可以遵守以下步骤，从而在某种程度上有助于应对PaaS安全性的挑战。

　　步骤一：建立安全措施

　　利用程序安全性的根本挑战远在PaaS实行前就已存在。因此，这种情况下，对如何完善生产安全、鲁棒的利用程序的部署措施已有相当的研究。有一个可提供直接支持的技术被称为利用程序要挟建模。从工具的角度来看，是免费跨网站脚本(XSS)和SQL注入。

　　步骤2：扫描网络利用程序

　　众多公司已接受了利用程序扫描，这是一个用于解决通用安全问题如跨平台脚本(XSS)和SQL导入的网络利用程序扫描工具。具有内部工具的企业可以将其利用于PaaS安全性措施，众多PaaS供应商也为客户以避免费或打折的价格提供了类似功能的工具。

　　步骤3：培训开发人员

　　利用程序开发人员完全通盘精通利用程序安全性原则是非常关键的。这可以包括语言级培训(构造利用程序所使用语言中的安全编码原则)和更广泛的议题，如安全性设计原则等。由于开发人员的减员和活动性等缘由，这常常要求培训必须定期重复并作为常态保持下去，所以开发人员利用程序的安全性培训本钱多是比较高价的的。

　　步骤4：具有专用的测试数据

　　这样的情况总是在不断产生中的：开发人员使用生产数据进行测试。这是一个需要正确认识的问题，由于机密数据(例如客户私人可辨识的数据)可能在测试进程中泄漏，特别是在开发或试运行环境中并没有履行与生产环境相同的安全措施时。PaaS的环境敏感性愈甚，而众多PaaS服务更容易于实现部署、试运行和生产之间的数据库同享以简化部署。

　　步骤5：重新调剂优先级

　　既然PaaS可能意味着一种文化和优先级的调剂，那末相应地接受这一调剂并将其真正纳入自己的思想行动体系中。使用PaaS，所有都是与利用程序相干;这意味着组织的安全性将高度依赖于组织中的开发团队。如果你一直以来都是依赖于基础设施级的控制以满足在利用程序级的安全挑战，现在是时候对其进行重新斟酌了。

免责声明：
本网址（www.yingxiongyun.com）发布的材料主要源于独立创作和网友匿名投稿。此处提供的所有信息仅供参考之用。我们致力于提供准确且可信的信息，但不对材料的完整性或真实性作出任何保证。用户应自行验证相关信息的正确性，并对其决策承担全部责任。对于由于信息的错误、不准确或遗漏所造成的任何损失，本网址不承担任何法律责任。

本网站所展示的所有内容，如文字、图像、标志、音频、视频、软件和程序等的版权均属于原创作者。

如果任何组织或个人认为网站内容可能侵犯其知识产权，或包含不准确之处，请即刻联系我们进行相应处理。