09 二月, 2010 07:26
推文( 0 )
發表者:Justin Foster
趨勢科技趨勢科技 Deep Security 及OfficeScan Intrusion Defense Firewall軟體架構工程師
隨著新的應用程式開始以雲端模型為開發基礎,開發人員也開始希望透過平台服務化 (Platform-as-a-Service,簡稱 PaaS) 來簡化應用程式的開發與部署。畢竟,要照顧應用程式底層的作業系統、資料儲存、訊息佇列以及應用程式容器,是一件複雜而耗費成本的工作。PaaS 的承諾,就是要提供一個應用程式基礎架構,由供應商負責照顧底層的堆疊。
聽起來的確不錯,不過,您得先仔細思考量一下您將放棄的安全控管能力:
可見度:在一個 PaaS 環境中,使用者只負責部署應用程式與資料。從終端使用者的角度來看,這並沒有一種標準的方法可以了解修補程式版本、收集系統/伺服器記錄檔,或者執行漏洞評估 (遠端測試通常是不允許的)。您如何知道自己的基礎是否穩固?
可攜性/互通性:PaaS 與 IaaS 不同之處在於,IaaS 上的虛擬機器通常可以在不同服務供應商之間互通,但 PaaS 卻會用到客製化 API、特殊應用程式容器,有時甚至是程式語言延伸功能。您是否能夠在必要時移轉您的應用程式?
安全性:大部分的 PaaS 方案都無法讓客戶部署網路式或主機式 WAF、DAM、IPS、FIM、AV 或 DLP 等方案。某些平台服務廠商會提供一些內建的安全服務,但終端使用者卻無法掌握,也無從選擇。您是否真的能讓應用程式「暴露在外」?
這些問題並非無解,但需要由平台供應商來做。
Chris Hoff 是一位知名的雲端運算熱愛者,他目前正與一個工作小組合作,共同開發一套通用的安全 API 來提供漏洞掃瞄、稽核、組態管理、修補程式管理等等所需的資訊。如果 PaaS 供應商採納了這套名為 A6 的 API (涵蓋了稽核、斷定、評估、確保),將可提供迫切需要的手動與自動化驗證方法。
PaaS 領域的可攜性與互通性可以透過服務供應商之間的合作來達成。將來勢必會演化出一些標準、抄襲服務供應商、轉換服務,有一天甚至會出現某種跨廠商之間的抽象層,讓應用程式在各種服務上都能執行。客戶必須自行推動其應用程式與資料的可攜性。
為了在 PaaS 環境中擁有安全性的掌控與彈性,服務供應商必須提供一些外掛安全方案的標準方式。這可以是虛擬化裝置 (透過徑內網路,或者進階的 Hypervisor 式內省),也可以是主機式安全方案的部署方法。高度可擴充的雲端應用程式需要最頂級的安全方案。
或許,研發部門會覺得 PaaS 非常迷人,但除非服務供應商可以解決這些問題,否則您最好還是暫時別碰 PaaS。
@原文來源:開發人員說:「IaaS?謝了,我要 PaaS。」(Developers: “IaaS? No thanks, I’ll PaaS”)
@雲端運算相關文章:
*雲端運算安全趨勢* 參加Gartner Data Center Conference 的 6 個心得
[何謂雲端運算?」雲端的定義 (Defining the Cloud)
SaaS、PaaS、IaaS等雲端運算模式,是把雞蛋放在同一個籃子裏嗎?(附文茜財經周報專訪張明正談趨勢科技投入雲端運算影片)
*雲端趨勢*Google Chrome 作業系統能否解決我們的安全問題?
* 雲端趨勢 * 你相信他們說的“相信我們”嗎?談私人資料在公共雲端的安全
@欲瞭解趨勢科技 TrendMicro 主動式雲端截毒服務 SPN( Smart Protection Network)的效能, 請上趨勢科技 相關中文網站。
欲第一手取得中英文版最新網路安全資安訊息,請找崔嘻一起噗浪
