@南馆潇湘
2年前 提问
1个回答

安全云平台顶层应用软件PaaS用户需要注意什么

安全小白成长记
2年前

安全云平台顶层应用软件PaaS用户需要注意以下这些:

  • 理解内嵌于云平台的安全功能。安全微服务对集装化(包括管理程序)、密码算法库、DevOps(自动化软件生命周期管理)工具以及运行时环境的支持必须经过认真评估。很多云平台提供商都会发布产品简介,其中包含了安全特性说明。建议将云平台安全评估作为平台选择标准的一部分来使用。

  • 坚持保护软件开发生命周期(Software Development Life Cycle,SDLC)指南,例如,威胁建模、攻击面评估以及对数据和服务隔离负责。

  • 利用OWASP安全编码实践(OWASP Secure Coding Practices,OWASP-SEC)和SEI CERT前10项安全编码实践来实现安全编码(SEI-SEC)。

  • 利用API运行时工作流程分析来实现安全应用接口。用于API管理的CSCC云用户架构提供了保护API方面的额外指南(CSA-API)。实现密码组件以对敏感IO进行加密,同时实现身份与访问控制。

  • 实现WAF以检测和防御恶意流量,确保平台支持部署方案和生产环境之间的严格隔离。

  • 进行攻击面复审、静态分析以及穷举测试,包括模糊和渗透测试、Web应用扫描以及针对所支持平台(包括固定和移动)的系统测试。