Att använda Platform as a Service låter dig utveckla och köra dina applikationer utan att behöva bekymra dig om infrastrukturen bakom. Det som du däremot behöver tänka på är IT-säkerheten i plattformen. Vilka delar av säkerheten tar PaaS-leverantören hand om och vilka behöver du ta ansvar för? Här får du veta mer om vilka säkerhetsverktyg och metoder du kan använda för att skydda dina projekt mot hot så att du kan få en trygg och effektiv PaaS-tjänst.
IT-säkerhet och efterlevnad i Platform as a Service (PaaS)
Platform as a Service (PaaS) har blivit en av de mest populära molntjänsterna eftersom den låter användarna utveckla och köra applikationer utan att behöva bekymra sig över infrastrukturen. Eftersom det är PaaS-leverantören som är värd för infrastrukturen och sköter i princip allt som rör plattformen kan du fokusera helt på dina projekt när du använder PaaS.
Ett snabbt, enkelt och bekvämt sätt att få rätt infrastruktur för ditt projekt. Däremot är det viktigt att tänka på säkerheten i PaaS-tjänsten. Det kan faktiskt uppstå sårbarheter om du inte har en bra säkerhetsstrategi på plats när du använder plattform som en tjänst. Så här kan du förebygga de hoten och få en trygg och effektiv PaaS-användning.
Börja med hotmodellering i PaaS-miljö
Det första steget mot en robust säkerhetsstrategi för din PaaS-miljö är att identifiera vilka potentiella hot och sårbarheter som finns så att det går att förebygga och minska riskerna. I praktiken betyder det här att du tittar på PaaS-miljön på samma sätt en angripare skulle göra:
- Vilka resurser är värdefulla?
- Var finns sårbarheterna?
- Hur kan de angripas?
- Vilka är attackvägarna?
När du har svaren på de frågorna kan du hitta de bästa verktygen och metoderna för att stärka IT-säkerheten.
Granska kritiska tillgångar och angreppsytor
Börja hotmodelleringen med att granska de kritiska tillgångarna och angreppsytorna. Till exempel API:er, databasintegrationer, autentiseringssystem, nätverkskomponenter och andra känsliga punkter.
Populära hotmodelleringstekniker inom PaaS är bland annat STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) och DREAD (Damage, Reproducibility, Exploitability, Affected Users, Discoverability). De hjälper dig att identifiera och prioritera olika typer av hot och se var det saknas säkerhetskontroller. Det hjälper dig att se var det behöver implementeras säkerhetsåtgärder som kryptering, åtkomstkontroll och övervakning.
Begränsa åtkomsten till informationen i PaaS-miljön
En av de mest grundläggande säkerhetsåtgärderna inom PaaS är att skydda dina tillgångar. I det här fallet den information som du hanterar i plattformen. Det är den som hackarna ser som värdefull och vill komma åt. Gör det svårare för angriparna genom att skydda och begränsa tillgången till den data du hanterar.
Här har du en rad med verktyg och metoder till din hjälp:
- Använd en Web Application Firewall (WAF) som skyddar webbapplikationer genom att filtrera, övervaka och blockera skadlig HTTP/S-trafik mellan klienter och webbservrar.
- Inför rollbaserad åtkomstkontroll (RBAC) som bara ger användarna de behörigheter som krävs för sin roll.
- Använd multifaktorautentisering (MFA) för ett starkare skydd vid inloggning som minskar risken för kontokapning.
- Kryptera data både i vila när den lagras på servrarna och under transport när ni använder den. Använd gärna en Key Management Service (KMS) för att hantera krypteringsnycklarna så stärks säkerheten ytterligare.
- Segmentera resurserna och separera tjänster och databaser med privata nätverk eller VLAN.
Följ regulatoriska krav och viktiga riktlinjer för PaaS
Regelefterlevnad är inte bara ett krav, det är också ett utmärkt verktyg för att bocka av att de viktigaste säkerhetsåtgärderna är på plats i PaaS-miljön. De viktigaste är förmodligen GDPR, som är EU:s regelverk för skydd av personuppgifter, och ISO 27001 som är en global standard för informationssäkerhet.
Båda berör viktiga punkter för att hålla en hög IT-säkerhet i PaaS-miljön. Som att kryptera data och begränsa vem som får tillgång till den, genomföra riskanalys för att identifiera och förebygga säkerhetshot, hålla alla program och infrastrukturen uppdaterad, samt att övervaka plattformen för att snabbt upptäcka incidenter.
Här är det viktigt att du som användare är på det klara med vad som är ditt ansvar och vilket säkerhetsansvar leverantören har. Granska noga leverantörerna av PaaS-tjänster och säkerställ att du väljer någon som följer GDPR och ISO 27001. Då vet du att du arbetar med ditt projekt i en plattform som följer säkerhetskraven på kryptering, åtkomstkontroll, skydd mot hot och incidenter och andra viktiga åtgärder.
Skydda ditt eget arbete i PaaS-miljön
När du vet vad som PaaS-leverantören ansvar för kan du lättare se vilka riktlinjer du själv kan följa för att stärka säkerheten när du utvecklar dina appar och andra projekt. En bra grundläggande guide är OWASP Top 10 för en säker utveckling av applikationer. Det är en lista över de tio vanligaste och mest kritiska sårbarheterna i webbapplikationer. Den uppdateras hela tiden för att vara så relevant som möjligt, och tar bland annat upp säkerhetsåtgärder som vi redan har lyft här, som kryptering och åtkomstkontroll.
OWSAP listar även säkerhetsåtgärder som är mer specifika för själva utvecklingsfasen. Som bland annat säker kodstandard och säkerhetstester i CI/CD, att använda säkerhetskonfigurationsverktyg som IaC, samt Software Composition Analysis (SCA) för att identifiera sårbara komponenter. När både du och PaaS-leverantören följer de här reglerna och riktlinjerna kan ni gemensamt stärka säkerheten i plattformen så mycket som möjligt.
Nyttja säkerhetsfunktionerna som kommer med PaaS
Att du får en snabb och enkel utveckling är inte den enda fördelen med platform as a service. PaaS är en paketlösning som utöver infrastrukturen ofta även kommer med många säkerhetsfunktioner. Det är vanligt att en PaaS-lösning inkluderar brandvägg och gateway för applikationer, samt funktioner för autentisering, åtkomsthantering och övervakning. Åtgärder som vi redan har listat som mycket viktiga för att höja säkerheten i en PaaS-miljö.
Ta reda på vilka säkerhetsfunktioner och verktyg plattformsleverantören tillhandahåller, hur du kan dra nytta av dem och om du själv behöver aktivera dem. Fråga gärna leverantören om:
- Vilka åtkomstkontroller som erbjuds, på vilken nivå de fungerar och vad som krävs i det dagliga användandet för att säkra applikationerna.
- Vilken typ av kryptering som finns tillgänglig och hur den aktiveras för varje typ av arbetsbelastning.
- Vilka integrationspunkter som finns med andra applikationer eller molnsystem, och vem som ansvarar för säkerheten i dem.
- Om säkerhetskopior och katastrofåterställning är en del av PaaS-tjänsten.
Det hjälper dig att få en så stark IT-säkerhet och efterlevnad som möjligt när du använder platform as a service för dina projekt.
Så kan vi hjälpa dig med molntjänster från Binero
Hos Binero har vi utformat våra molntjänster så att du som användare får både en snabb utveckling och en stark säkerhet i alla led. Våra molntjänster utgår från vårt datacenter i Vallentuna. Den data som placeras hos oss hanteras enbart inom Sverige. Det innebär att den omfattas av svensk lagstiftning och GDPR. Vi har även ISO 27001-certifiering som garanterar att vi uppfyller de högsta standarderna för informationssäkerhet.
Det ger dig en stark IT-säkerhet och en trygg användning av platform as a service, men det här är bara grunden i vår säkerhetsstrategi. Behöver ditt projekt ännu högre IT-säkerhet kan vi även erbjuda ett Security Operations Center (SOC) som övervakar dina nätverk i realtid för att kunna identifiera, analysera och åtgärda hot och incidenter innan du ens märker av dem.
Vi kan även erbjuda säkerhetstjänster som riskanalys och säkerhetsrådgivning, on-prem och off-site backup, DDoS-skydd, realtidsskydd mot obehörig åtkomst och skadlig programvara samt skräddarsydda säkerhetslösningar.
Vill du veta mer om vår skalbara infrastruktur och plattform och hur den hjälper dig att driva AI-applikationer effektivt, samt om IT-säkerheten som låter dig använda dem så tryggt som möjligt? Kontakta oss så hjälper vi dig!
