您是否正在使用PaaS犯重大安全错误?

 
信息安全领导者和专业人员尚不清楚平台即服务解决方案与软件即服务解决方案之间的区别。我们需要提供有关这些差异的精确信息-否则，我们最终只会遇到令人困扰的问题。 PaaS和SaaS之间的混淆可能会带来严重的安全隐患。您是否在使用平台即服务(PaaS)时犯了重大的安全错误?
了解SaaS和PaaS-为了您的安全。
不久之前-在PaaS像现在这样流行之前-只是SaaS。这些服务主要通过云交付了各种功能和应用程序。 SaaS解决方案通常是公认的点解决方案。它们由Salesforce等第三方公司管理和运行。 SaaS公司承担着技术问题，存储和安全性的重担。 SaaS是一种现成的解决方案，需要有限的IT人员进行管理。
客户越来越多地希望为其产品提供更多定制选项，从而使PaaS成为SaaS的自然发展。
PaaS历史上的第一个重要里程碑是2007年。经过多年的客户关系管理工具，Salesforce推出了Force.com。 Force是允许企业创建自定义软件的平台版本。借助PaaS，企业可以编写自己的代码并完全控制数据库驱动的应用程序。
PaaS的价值主张引人注目：如果Salesforce的原始版本缺乏您的业务所需的功能;使用PaaS，您可以自己构建它。
当然，Salesforce不是在PaaS世界中唯一投入脚步的公司。 Heroku，Amazon Web Services和Google Cloud等平台也已成为该领域的主要参与者。到2013年，PaaS取得了长足的发展，在Salesforce的AppExchange上下载了200万个应用程序。
随着这种发展，企业可以轻松集成社交媒体和CRM数据，从而获得空前的见解和简化的流程。当然，大型公司看到了PaaS在技术历史的早期提供的可能性，并迅速加入了潮流，推动了平台领域的进一步增长。
PaaS和SaaS之间的关键区别在于，在PaaS中，您可以构建所需的任何东西。
使用SaaS，您将受限于该程序中已经存在的功能。您所要做的就是打开要激活的功能的开关，然后关闭并运行。为了使PaaS更好地为您工作，您需要了解公司的安全策略，了解拥有的信息，以及哪些人可以上载和访问该信息。
更大的力量，更大的责任感-更大的安全性
同时，PaaS为您提供了很多控制权-但是这种控制权带有很多责任。当您开始在平台之上构建自己的复杂系统时，需要确保您正在认真控制对公司和客户信息的访问。
企业在部署PaaS时常犯的一个常见错误是，假设管理系统的人员对谁有权访问系统中的哪些信息有把握。
有人误以为组织内部的集中控制机制会监督构建的内容，并确保它具有适当的质量和安全控制措施。虽然Salesforce和类似平台确实具有令人难以置信的强大安全模型，这些模型允许企业以细粒度的方式控制访问，但企业通常无法正确执行此操作。这根本没有发生。
敏感信息的大门很容易敞开，从而引发邪恶或无意识的危险活动。
这个错误源于PaaS的极端用户友好特性，尤其是Salesforce的版本。从字面上看，任何人都可以在其上构建应用程序。 PaaS的祝福和诅咒是，像Bob那样的人可能在金融中构建了这个出色的业务支持应用程序，该应用程序在过去曾被开发为内部产品，例如Access数据库。
人们正在做事情，这很棒，但是Bob可能并不完全了解在云中存储信息的风险。鲍勃可能会在发送此数据库时，要求人们用数据填充该数据库，并认为一切都非常安全，因为它“在云中”。
其他所有人都信任Bob，并且在错误假设安全控制存在的情况下进行操作。在不知不觉中，您已经拥有一个庞大的不安全的敏感信息数据库。例如，您以后可能会发现该应用程序或数据库已集成到您的网站中，并且客户在寻求帮助时正在键入其社会保险号。
也许数据库是向公众用户开放的-许多PaaS新手不小心允许访问外界。突然，您使人们登录并更改自己的信息。风险范围之广令人难以置信。不是很好。
请记住，PaaS非常灵活，并且因为您可以使用PaaS做任何事情，所以人们将做任何事情。
您可以完全构建令人惊叹的工作流程，以改变您的业务。但是，在继续前进之前，您需要了解一下PaaS系统，该系统与您通常用来理解任何给定系统中的信息的任何其他可靠数据分类格式的作用域相同。 PaaS必须属于所有SQL Server数据库，内部系统以及您在云上运行的所有内容(例如服务之类的基础架构，例如AWS或Microsoft Azure)，都属于同一范围，并且要具有相同的考虑因素。
总结：使用PaaS构建的应用程序不一定会改变组织的战略地位，但是您确实需要将技术视为成熟的，成熟的系统，需要进行战略规划和远见卓识。
PaaS错误的重要后果
PaaS需要一个复杂的过程-构建软件应用程序-并使它易于访问和直接。这很棒，除了很多事情正在幕后，财务方面的普通鲍勃可能无法理解。他甚至不知道有很多问题要问!
安全错误通常在于有关您的安全需求的盲点，并且假设使用PaaS时内置在SaaS应用程序中的安全控制会继续存在。
当您遇到盲点时，最终可能会存储与通常存储此类信息的方式不一致的数据。也许您甚至不知道系统中包含什么信息，因此可能不知道如何正确保护它。或者，不要再选择鲍勃(Bob)的财务了，但他可能甚至都不知道公司在信息存储和共享方面的政策。
使用PaaS，存储超敏感信息非常容易，然后允许公司中的每个人运行，导出和保存包含该信息的报告。
无论您要称其为数据泄漏还是数据出口，安全性错误结果都是相同的：信息变得不可控制。
如果您不知道所获得的信息，也不知道如何控制对信息的访问，那么您绝对有遭受数据泄露的风险。如今，数据泄露已经成为一个问题，如果不可以的话。仅在2019年上半年，就暴露了近3100万条记录。
任何行业或企业都不能幸免，其后果是真实的，而且是非常负面的。想象一下您的数据泄露出现在《华尔街日报》的头条大标题中。当然，大多数数据泄露都是由黑客和罪犯造成的。但是由于人为错误或不正确的安全措施，它们也很可能从内部来源发生。
负责任地使用PaaS可以归结为知识就是力量的观念。了解您公司的安全政策，了解您拥有哪些信息，以及谁可以上载和访问该信息。否则，您的信息将独占life头，并最终使您陷入困境。