随着新的應用程式開始以雲模型為開發基礎,開發人員也開始希望透過平台服務化 (Platform-as-a-Service,簡稱 PaaS)來簡化應用程式的開發與部署。畢竟,要照顧應用程式底層的作業系統、資料儲存、資訊伫列以及應用程式容器,是一件複雜而耗費成本的工作。PaaS 的承諾,就是要提供一個應用程式基礎架構,由供應商負責照顧底層的堆疊。
聽起來的确不錯,不過,您得先仔細思考量一下您将放棄的安全控制能力:
可見度:在一個 PaaS 環境中,使用者隻負責部署應用程式與資料。從終端使用者的角度來看,這并沒有一種标準的方法可以了解更新檔程式版本、收集系統/伺服器記錄檔,或者執行漏洞評估 (遠端測試通常是不允許的)。您如何知道自己的基礎是否穩固?
可攜性/互通性:PaaS 與 IaaS 不同之處在于,IaaS 上的虛拟機器通常可以在不同服務供應商之間互通,但 PaaS 卻會用到客制化 API、特殊應用程式容器,有時甚至是程式語言延伸功能。您是否能夠在必要時移轉您的應用程式?
安全性:大部分的 PaaS 方案都無法讓客戶部署網絡式或主機式 WAF、DAM、IPS、FIM、AV 或 DLP 等方案。某些平台服務廠商會提供一些内建的安全服務,但終端使用者卻無法掌握,也無從選擇。您是否真的能讓應用程式“暴露在外”?
這些問題并非無解,但需要由平台供應商來做。
Chris Hoff 是一位知名的雲計算熱愛者,他目前正與一個工作小組合作,共同開發一套通用的安全 API 來提供漏洞掃瞄、稽核、組态管理、更新檔程式管理等等所需的資訊。如果 PaaS 供應商采納了這套名為 A6 的 API (涵蓋了稽核、斷定、評估、確定),将可提供迫切需要的手動與自動化驗證方法。
PaaS 領域的可攜性與互通性可以透過服務供應商之間的合作來達成。将來勢必會演化出一些标準、抄襲服務供應商、轉換服務,有一天甚至會出現某種跨廠商之間的抽象層,讓應用程式在各種服務上都能執行。客戶必須自行推動其應用程式與資料的可攜性。
為了在 PaaS 環境中擁有安全性的掌控與彈性,服務供應商必須提供一些外挂安全方案的标準方式。這可以是虛拟化裝置 (透過徑内網絡,或者進階的 Hypervisor 式内省),也可以是主機式安全方案的部署方法。高度可擴充的雲應用程式需要最頂級的安全方案。
或許,研發部門會覺得 PaaS 非常迷人,但除非服務供應商可以解決這些問題,否則您最好還是暫時别碰 PaaS。
![手機軟體抓包工具及其使用方法[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)