平臺即服務(wù)解決方案是安全的：除非您對它們進(jìn)行了錯(cuò)誤配置

[]如果不是技術(shù)本身，技術(shù)通常會(huì)給我們帶來最初不會(huì)出現(xiàn)的問題。例如，查看大規(guī)模的醫(yī)學(xué)進(jìn)步或無法識別的業(yè)務(wù)轉(zhuǎn)型。當(dāng)您偶然發(fā)現(xiàn)源于技術(shù)集成的無數(shù)奇跡時(shí)，就很難抱怨技術(shù)了。

然而，每一次進(jìn)步都會(huì)帶來更多的弱點(diǎn)，尤其是如果它與人類相互依賴的話。人為錯(cuò)誤使得最復(fù)雜的IT服務(wù)在實(shí)現(xiàn)過程中存在缺陷，因?yàn)榇嬖诰薮蟮氖д`或明顯的遺漏。

平臺即服務(wù)（PaaS）就是一個(gè)例子。我們不能否認(rèn)這樣一個(gè)事實(shí)：由數(shù)據(jù)科學(xué)的多學(xué)科領(lǐng)域所支持的數(shù)據(jù)優(yōu)化，使企業(yè)能夠保持成功。毫無疑問，PaaS在這場包容性革命中的作用始終是以企業(yè)和客戶之間的互動(dòng)促進(jìn)者為中心的。

有許多PaaS解決方案，例如AWS Lambda，OpenShift，Salesforce等，在設(shè)計(jì)時(shí)都考慮了簡單性，可擴(kuò)展性和可靠性，這些服務(wù)已完全扭轉(zhuǎn)了傳統(tǒng)客戶的體驗(yàn)。他們?yōu)榻M織處理面向客戶的數(shù)據(jù)的一半以上的組件，并確保增強(qiáng)的個(gè)性化，改進(jìn)的服務(wù)和更高的價(jià)值增長。

另一方面，PaaS還允許CISO，IT和安全人員，公民開發(fā)人員以及幾乎任何在組織內(nèi)管理信息技術(shù)基礎(chǔ)結(jié)構(gòu)的人員來管理公司的治理。只要有問題的專業(yè)人員有足夠的資格這樣做就可以了，通常情況并非如此。

缺乏采取先發(fā)制人的措施以減輕內(nèi)部和外部對組織的安全威脅所必需的充分控制或理解，甚至使PaaS解決方案所配備的動(dòng)手安全框架都無效。人類無法履行他們共同承擔(dān)的責(zé)任，這對于確保合規(guī)至關(guān)重要，因此對于組織而言是成功的。

讓我們來看看一些實(shí)時(shí)事件，以便更好地理解人與技術(shù)的不相容性。你還記得美國醫(yī)療采集機(jī)構(gòu)（AMCA）的數(shù)據(jù)泄露了近2500萬病人的信息嗎？或者說，在服務(wù)器遷移過程中，醫(yī)療技術(shù)公司泄露了機(jī)密的健康信息？或是揭露信用卡客戶個(gè)人信息的資本公司，包括人們的社會(huì)保險(xiǎn)號碼、銀行交易和余額等，甚至還有金融服務(wù)公司，其中420萬會(huì)員因其一名員工而受到影響。

所有這些和更多的漏洞或多或少是由組織管理員或開發(fā)人員形式的人為錯(cuò)誤引起的。同樣，在任何情況下，這種意圖也不一定是惡意的，如果有的話，指派的IT專家在嘗試盡其所能幫助組織時(shí)會(huì)成為受害者。

這表明未能充分利用技術(shù)驅(qū)動(dòng)的安全解決方案的潛力。如果正確實(shí)施以采用必需的控件以限制可訪問性，那么所有提到的情況實(shí)際上都是可以避免的。

PaaS提供的強(qiáng)大的安全服務(wù)并不是要保持“購買并開啟”的狀態(tài)，而實(shí)際上是為了采取以下措施：提供風(fēng)險(xiǎn)見解并避免網(wǎng)絡(luò)犯罪嘗試。

對于經(jīng)常投資于多種安全功能但不實(shí)踐或促進(jìn)基于現(xiàn)實(shí)安全威脅而創(chuàng)建的治理結(jié)構(gòu)的組織，情況也是如此，除了由于缺乏對安全性的了解以外，還沒有啟用安全功能。責(zé)任。

錯(cuò)誤配置使平臺作為服務(wù)不安全

毫無疑問，PaaS附帶了非凡的安全能力，我們可以而且應(yīng)該質(zhì)疑的是使整個(gè)服務(wù)不安全的配置方式或?qū)嵤┳龇?。通常情況下，優(yōu)先級列表上的數(shù)據(jù)治理不充分。組織漏洞的常見原因之一是不需要的來源或整個(gè)組織對平臺上存儲(chǔ)的數(shù)據(jù)具有不受限制的可訪問性。您不僅可以授予公司任何人員和所有人高管訪問權(quán)限，而且在洶涌的危機(jī)對其造成破壞時(shí)會(huì)感到震驚。

好消息是，糾正這些普遍存在的錯(cuò)誤是非常有可能的。您需要采取的第一步是確定存儲(chǔ)在企業(yè)PaaS上的數(shù)據(jù)的性質(zhì)。因此，您可以制定一個(gè)稱職的數(shù)據(jù)管理計(jì)劃來簡化和說明從內(nèi)部合規(guī)性到股東責(zé)任等所有方面。

如何確保全面的安全性

想象一下有道德的黑客會(huì)做什么，或者Netflix的ChaosMonkey彈性工具會(huì)做什么？它們在方法上本質(zhì)上并不相同，但在目標(biāo)上卻再相似不過。評估您的平臺安全性，以找到任何弱點(diǎn)，并比以前更強(qiáng)地對其進(jìn)行修補(bǔ)。

一秒鐘之內(nèi)不要相信你已經(jīng)獲得了任何榮譽(yù)，如果有什么真正的挑戰(zhàn)開始于不斷的風(fēng)險(xiǎn)評估、安全更新、性能評估等。一旦你對正在進(jìn)行的安全評估有足夠的信心，執(zhí)行以下幾步，以確保你的平臺的完全安全。

隔離控制組件：確定絕對安全性的第一步是縮小可訪問性范圍。隔離那些對您的PaaS數(shù)據(jù)具有所有控制級別的人員，并評估其長期使用情況。不幸的是，根本找不到任何人，您應(yīng)該開始朝著面臨嚴(yán)重問題的方向思考。

數(shù)據(jù)整理：整理和組織數(shù)據(jù)清單是一項(xiàng)繁瑣的任務(wù)，但是無法確定存儲(chǔ)的數(shù)據(jù)種類及其對您或公司的意義。組織將根據(jù)價(jià)值給出線索和上下文，以便您可以部署適當(dāng)?shù)目刂拼胧┮苑乐谷魏瓮{。

篩選訪問權(quán)限：限制訪問PaaS平臺信息是您成功的一半，想象一下篩選具有授權(quán)訪問權(quán)限的訪問證明是多么有效。他們訪問的內(nèi)容或訪問數(shù)據(jù)的時(shí)間，所有這些加起來都會(huì)生成數(shù)字跟蹤，從而為您提供安全措施的最新狀態(tài)。

始終維護(hù)云計(jì)算并非易事，但鑒于正在進(jìn)行的過渡以及未來的前景，無論您是否喜歡它，這里都將保留下來。光是巨大的好處就讓維護(hù)的麻煩變得值得每一點(diǎn)努力。[]