五步（图形）来实现云计算平台，服务的PaaS安全

点评：PaaS是平台作为一种服务的缩写，这意味着该平台的服务。服务器平台作为一种服务提供的商业模式。网络提供的服务被称为SaaS（软件即服务），而相应的服务器平台或者开发云计算时代环境作为PaaS，这是PaaS（平台即服务）。

当涉及到安全性和云计算模型、平台服务（PaaS）有它自己特殊的挑战。不像其他的云计算模型，通过PaaS安全应用安全需要的专业知识往往是大多数公司无法投入巨额资金拥有。这个问题很复杂，因为许多公司用在基础设施水平的安全控制策略作为安全风险等级的应用措施（例如，一旦应用程序代码发布生产、使用WAF缓解跨站点程序或其他前端问题脚发现）。因为在PaaS的底层基础设施的缺乏控制，这一策略变得越来越不现实PaaS的德就业中的应用。
考虑到与PaaS的灵活性，你必须在底层计算环境有一定的控制。如IaaS、PaaS提供了几乎无限的设计灵活性：您可以建立任何应用基于社交网站实现Intranet网站或CRM应用。然而，不像IaaS，在应用程序的堆栈，，，不透明意味着组件和基础设施支持的应用（根据设计）一个黑盒子，也就是说，类似于SaaS的安全控制必须建立在应用本身；但随着SaaS服务提供商通常适用于所有客户的应用级安全控制不同的是，在E IaaS的安全控制措施，为您的应用程序，这意味着你必须负责你的判断，这些控制措施是适当的和进行具体的实施自己的责任。
这里的一个简单的例子展示了模型和客户之间的区别：
应用程序设计的灵活性
功能控制比
对于那些在应用程序安全性的透明的底部有大量投资，他们有固定的独立开发商与规律、发展培训、测试及生产过程，因此应对PaaS安全问题应该熟悉。和那些没有这些投资可以遵循以下步骤，在一定程度上，有助于满足PaaS安全挑战。
第一步：建立安全措施
应用程序安全性的根本挑战已经是PaaS实施前存在的。因此，出现了大量的研究，如何提高生产的安全性和可靠的应用程序的部署。这是一种可以提供直接支持的应用威胁建模技术。一些好点的OWASP页面和微软公司的安全威胁建模开发生命周期资源页。从查看工具，它是免费的跨站脚本（XSS）和SQL注入。内部工具企业可以应用于PaaS的安全措施，或许多PaaS提供商提供类似的工具给客户打折或免费的价格，当企业想使用更广泛扫描的策略，他们还可以使用免费的工具，如谷歌的skipfish。
步骤二：扫描网络应用程序
许多公司已经接受了扫描，这是一个网络应用的扫描工具来解决一般的安全问题，如跨平台脚本（XSS）和SQL导入。内部工具企业可以应用于PaaS安全措施，或许多PaaS提供商提供类似的功能，给客户的价格折扣或免费的。当公司想用一个更广泛的扫描策略，他们还可以使用免费的工具，如谷歌的skipfish。
步骤三：培训开发人员
它是应用程序开发人员能够完全掌握应用安全原理的关键。这可以包括语言层面的训练，即他们目前使用的安全编码原则来构建应用程序，以及一个广泛的话题，如安全设计原则。由于磨损和流动性的开发商，往往要求培训必须定期重复，作为一个正常的状态保持下去，所以开发人员培训安全成本可能会更高。幸运的是，也有一些免费的资源，如德克萨斯是 /美国国内国防校园计划，安全软件开发提供一些免费的学习材料。微软公司也通过其诊所提供的2806免费培训：MIC工作人员安全意识的培训，这是一个入门级的培训材料，开始你自己的定制程序。
步骤四：有特定的测试数据
这是经常发生的事情：开发商使用生产数据进行测试。这是一个需要正确认识的问题，因为机密数据，如客户的个人可识别的数据，可能泄漏的测试过程中，特别是在开发或试运行环境，无需实施相同的安全措施，对生产environment.paas环境更敏感，和许多PaaS服务更容易实现部署，试运行，与生产共享数据库，简化部署，如开源的Databene Benerator和其他工具可以产生高容量的数据符合你的特定数据库的结构和数据格式的调整有助于有专门的生产数据。通常这些过程属于一个特定的框架，因此您需要知道在特定环境中找到一个正常的工作。
步骤五：重新调整优先级
最后一步是可以实现的最重要的一步。因为PaaS可能意味着一种文化和优先级调整，调整相应的接受和融入自己的思想和行为的系统。使用PaaS，所有与应用程序相关；这意味着组织的安全性将高度依赖于组织开发团队。如果这不是PaaS的问题，这将是一场噩梦，因为在基础设施层面你不能实现多少减轻已识别的风险。如果你总是依赖基础设施水平控制满足在应用层的安全挑战，现在是时候重新考虑

作者：Ed Moyle译者：滕晓龙来源：TechTarget中国