[]如果不是技術(shù)本身，技術(shù)通常會(huì)給我們帶來(lái)最初不會(huì)出現(xiàn)的問(wèn)題。例如，查看大規(guī)模的醫(yī)學(xué)進(jìn)步或無(wú)法識(shí)別的業(yè)務(wù)轉(zhuǎn)型。當(dāng)您偶然發(fā)現(xiàn)源于技術(shù)集成的無(wú)數(shù)奇跡時(shí)，就很難抱怨技術(shù)了。

然而，每一次進(jìn)步都會(huì)帶來(lái)更多的弱點(diǎn)，尤其是如果它與人類相互依賴的話。人為錯(cuò)誤使得最復(fù)雜的IT服務(wù)在實(shí)現(xiàn)過(guò)程中存在缺陷，因?yàn)榇嬖诰薮蟮氖д`或明顯的遺漏。

平臺(tái)即服務(wù)（PaaS）就是一個(gè)例子。我們不能否認(rèn)這樣一個(gè)事實(shí)：由數(shù)據(jù)科學(xué)的多學(xué)科領(lǐng)域所支持的數(shù)據(jù)優(yōu)化，使企業(yè)能夠保持成功。毫無(wú)疑問(wèn)，PaaS在這場(chǎng)包容性革命中的作用始終是以企業(yè)和客戶之間的互動(dòng)促進(jìn)者為中心的。

有許多PaaS解決方案，例如AWS Lambda，OpenShift，Salesforce等，在設(shè)計(jì)時(shí)都考慮了簡(jiǎn)單性，可擴(kuò)展性和可靠性，這些服務(wù)已完全扭轉(zhuǎn)了傳統(tǒng)客戶的體驗(yàn)。他們?yōu)榻M織處理面向客戶的數(shù)據(jù)的一半以上的組件，并確保增強(qiáng)的個(gè)性化，改進(jìn)的服務(wù)和更高的價(jià)值增長(zhǎng)。

另一方面，PaaS還允許CISO，IT和安全人員，公民開(kāi)發(fā)人員以及幾乎任何在組織內(nèi)管理信息技術(shù)基礎(chǔ)結(jié)構(gòu)的人員來(lái)管理公司的治理。只要有問(wèn)題的專業(yè)人員有足夠的資格這樣做就可以了，通常情況并非如此。

缺乏采取先發(fā)制人的措施以減輕內(nèi)部和外部對(duì)組織的安全威脅所必需的充分控制或理解，甚至使PaaS解決方案所配備的動(dòng)手安全框架都無(wú)效。人類無(wú)法履行他們共同承擔(dān)的責(zé)任，這對(duì)于確保合規(guī)至關(guān)重要，因此對(duì)于組織而言是成功的。

讓我們來(lái)看看一些實(shí)時(shí)事件，以便更好地理解人與技術(shù)的不相容性。你還記得美國(guó)醫(yī)療采集機(jī)構(gòu)（AMCA）的數(shù)據(jù)泄露了近2500萬(wàn)病人的信息嗎？或者說(shuō)，在服務(wù)器遷移過(guò)程中，醫(yī)療技術(shù)公司泄露了機(jī)密的健康信息？或是揭露信用卡客戶個(gè)人信息的資本公司，包括人們的社會(huì)保險(xiǎn)號(hào)碼、銀行交易和余額等，甚至還有金融服務(wù)公司，其中420萬(wàn)會(huì)員因其一名員工而受到影響。

所有這些和更多的漏洞或多或少是由組織管理員或開(kāi)發(fā)人員形式的人為錯(cuò)誤引起的。同樣，在任何情況下，這種意圖也不一定是惡意的，如果有的話，指派的IT專家在嘗試盡其所能幫助組織時(shí)會(huì)成為受害者。

這表明未能充分利用技術(shù)驅(qū)動(dòng)的安全解決方案的潛力。如果正確實(shí)施以采用必需的控件以限制可訪問(wèn)性，那么所有提到的情況實(shí)際上都是可以避免的。

PaaS提供的強(qiáng)大的安全服務(wù)并不是要保持“購(gòu)買并開(kāi)啟”的狀態(tài)，而實(shí)際上是為了采取以下措施：提供風(fēng)險(xiǎn)見(jiàn)解并避免網(wǎng)絡(luò)犯罪嘗試。

對(duì)于經(jīng)常投資于多種安全功能但不實(shí)踐或促進(jìn)基于現(xiàn)實(shí)安全威脅而創(chuàng)建的治理結(jié)構(gòu)的組織，情況也是如此，除了由于缺乏對(duì)安全性的了解以外，還沒(méi)有啟用安全功能。責(zé)任。

錯(cuò)誤配置使平臺(tái)作為服務(wù)不安全

毫無(wú)疑問(wèn)，PaaS附帶了非凡的安全能力，我們可以而且應(yīng)該質(zhì)疑的是使整個(gè)服務(wù)不安全的配置方式或?qū)嵤┳龇?。通常情況下，優(yōu)先級(jí)列表上的數(shù)據(jù)治理不充分。組織漏洞的常見(jiàn)原因之一是不需要的來(lái)源或整個(gè)組織對(duì)平臺(tái)上存儲(chǔ)的數(shù)據(jù)具有不受限制的可訪問(wèn)性。您不僅可以授予公司任何人員和所有人高管訪問(wèn)權(quán)限，而且在洶涌的危機(jī)對(duì)其造成破壞時(shí)會(huì)感到震驚。

好消息是，糾正這些普遍存在的錯(cuò)誤是非常有可能的。您需要采取的第一步是確定存儲(chǔ)在企業(yè)PaaS上的數(shù)據(jù)的性質(zhì)。因此，您可以制定一個(gè)稱職的數(shù)據(jù)管理計(jì)劃來(lái)簡(jiǎn)化和說(shuō)明從內(nèi)部合規(guī)性到股東責(zé)任等所有方面。

如何確保全面的安全性

想象一下有道德的黑客會(huì)做什么，或者Netflix的ChaosMonkey彈性工具會(huì)做什么？它們?cè)诜椒ㄉ媳举|(zhì)上并不相同，但在目標(biāo)上卻再相似不過(guò)。評(píng)估您的平臺(tái)安全性，以找到任何弱點(diǎn)，并比以前更強(qiáng)地對(duì)其進(jìn)行修補(bǔ)。

一秒鐘之內(nèi)不要相信你已經(jīng)獲得了任何榮譽(yù)，如果有什么真正的挑戰(zhàn)開(kāi)始于不斷的風(fēng)險(xiǎn)評(píng)估、安全更新、性能評(píng)估等。一旦你對(duì)正在進(jìn)行的安全評(píng)估有足夠的信心，執(zhí)行以下幾步，以確保你的平臺(tái)的完全安全。

隔離控制組件：確定絕對(duì)安全性的第一步是縮小可訪問(wèn)性范圍。隔離那些對(duì)您的PaaS數(shù)據(jù)具有所有控制級(jí)別的人員，并評(píng)估其長(zhǎng)期使用情況。不幸的是，根本找不到任何人，您應(yīng)該開(kāi)始朝著面臨嚴(yán)重問(wèn)題的方向思考。

數(shù)據(jù)整理：整理和組織數(shù)據(jù)清單是一項(xiàng)繁瑣的任務(wù)，但是無(wú)法確定存儲(chǔ)的數(shù)據(jù)種類及其對(duì)您或公司的意義。組織將根據(jù)價(jià)值給出線索和上下文，以便您可以部署適當(dāng)?shù)目刂拼胧┮苑乐谷魏瓮{。

篩選訪問(wèn)權(quán)限：限制訪問(wèn)PaaS平臺(tái)信息是您成功的一半，想象一下篩選具有授權(quán)訪問(wèn)權(quán)限的訪問(wèn)證明是多么有效。他們?cè)L問(wèn)的內(nèi)容或訪問(wèn)數(shù)據(jù)的時(shí)間，所有這些加起來(lái)都會(huì)生成數(shù)字跟蹤，從而為您提供安全措施的最新?tīng)顟B(tài)。

始終維護(hù)云計(jì)算并非易事，但鑒于正在進(jìn)行的過(guò)渡以及未來(lái)的前景，無(wú)論您是否喜歡它，這里都將保留下來(lái)。光是巨大的好處就讓維護(hù)的麻煩變得值得每一點(diǎn)努力。[]