1. 먼저 PaaS 의 SaaS (software as a service) 어플리케이션 개발과 관련된 자산을 식별하고 각 자산에 숫자 값을 할당합니다. 모든 자산이 속한 분류를 식별합니다. 다음은 몇 가지 예입니다: 1 사용자: SaaS 개발자와 SaaS 사용자는 모두 이 범주에 속해야 합니다. 각 사용자 그룹의 가치는 응용 프로그램을 개발하고 테스트하는 데 걸리는 평균 근무 시간을 기준으로 해야 합니다.
2. 자원: PaaS 개발자가 SaaS 응용 프로그램을 실행하고 저장하는 데 사용하는 자원입니다. 예를 들어 Elastic Beanstalk 는 아마존 탄성 클라우드 컴퓨팅 (EC2), 아마존 단순 스토리지 서비스, 아마존 단순 알림 서비스, 아마존 클라우드 와치, 유연한 로드 밸런싱 및 자동 확장을 사용합니다. 그 가치는 이러한 자원을 사용하기 위해 지불한 비용을 기준으로 해야 한다. 신축성 콩줄기는 무료입니다.
3. 보안: 이는 암호화 메커니즘, 방화벽 및 서비스로서의 보안을 포함한 업계 보안 표준을 의미합니다. 그 가치는 안전 조치를 실시하는 데 걸린 근로 시간을 기준으로 한다.
4. 설명서: 교육 설명서, 관리 설명서, 보안 표준, 물리적 표준, 비상 계획, 재해 복구 계획 및 서비스 수준 계약 (SLA) 은 문서의 몇 가지 예일 뿐입니다. 그 값은 문서를 게시하는 데 필요한 미디어 유형 (예: 인쇄, 온라인 또는 디지털 미디어 (CD)) 을 기준으로 합니다.
소프트웨어: 운영 체제; 취약성 테스트 도구 사무용 도구 (문서, 스프레드시트, 프레젠테이션); 로그 분석 도구 그리고 프로그래밍 언어 (자바,. 넷, PHP 스크립팅 언어, Node.js 프로그래밍 언어, 파이썬, 루비) 는 모두 소프트웨어로 간주해야 합니다. 그 가치는 소프트웨어 구입 가격 또는 PaaS 에서 SaaS 어플리케이션을 개발하는 현금 지불 비용을 기준으로 해야 합니다.
2 단계 취약성 및 위협 식별
해커가 PaaS 허점을 이용하는 유일한 위협원은 아니다. 다음은 위협의 근원에 대한 몇 가지 다른 예입니다.
소프트웨어 설계 결함은 악의적 인 SQL 주입을 허용 할 수 있습니다.
액세스 제어 구성이 잘못되면 어플리케이션에서 처리 중인 스토리지에 민감한 데이터가 도난당할 수 있습니다.
방화벽 구성이 잘못되면 예기치 않은 PaaS 중단이 발생할 수 있습니다.
클라우드 컴퓨팅의 리소스 풀 및 유연한 특성으로 인한 데이터 복구 취약점 즉, 한 사용자에게 할당된 자원이 예기치 않게 다른 사용자에게 재할당될 수 있습니다. 이런 식으로, 항상 이전 사용자가 데이터를 복구할 수 있다는 것을 보장할 수 있는 것은 아니다.
위험 평가
사용자는 PaaS 를 계속 사용할 수 있고 더 많은 트래픽 자원에 대한 수요가 충족될 수 있다는 확신을 원합니다. 사용할 수 없는 위험에 대한 평가는 정량적 방법입니다. 몇 가지 예는 다음과 같습니다.
1 년 동안 IaaS (infrastructure as a service) 중단으로 인해 PaaS 를 사용할 수 없게 되는 예상 빈도.
잘못된 방화벽 구성으로 인한 PaaS 공격의 예상 빈도.
SLA 에서 약속 된 성능의 예상 빈도를 달성 할 수 없습니다.
PaaS 가 실행 중인 IaaS 를 지원하는 네트워크 라우터 및 스위치 실패 예상 주파수입니다.
네 번째 단계는 허점을 수리하기 위해 관련 안전 장치를 적용하는 것입니다.
비용 효율성 보장 조치를 구현하는 것은 PaaS 에서 SaaS 어플리케이션 개발의 위험을 줄이는 한 가지 방법입니다. 다음은 몇 가지 예입니다.
어플리케이션 설계가 정확하고 소프트웨어 결함이 없습니다. PaaS 개발자와 클라우드 컴퓨팅 설계자는 PaaS 에서 잘 설계된 어플리케이션을 개발할 수 있는 충분한 기술과 경험을 가지고 있습니다.
사용자는 자신의 역할 및/또는 데이터 민감도에 따라 액세스 제어 구성을 올바르게 설정했습니다. 로그 옵션이 활성화되었습니다.
방화벽 설정이 올바르게 설정되었습니다. 침입 탐지 시스템 및 로드 밸런서가 제자리에 있습니다. PaaS 오류 메커니즘 전략 향상 PaaS 입력 및 출력 트래픽 데이터가 암호화되었습니다.
다섯 번째 단계는 위험 완화 전략을 구현하는 것입니다.
자산 식별, 취약점 및 위협 식별, 위험 평가 및 관련 보안 조치를 적용하여 취약점을 복구하는 구체적인 구현 프로세스는 조직의 실제 상황에 따라 달라집니다. 전체 프로세스를 표준화하고 관련 비용을 절감하려면 위험 완화 전략을 구현해야 합니다.
이 정책에는 PaaS 에서 응용 프로그램을 개발, 실행 및 저장하기 위한 AWS 리소스, 프로그래밍 언어 및 서버 (위에서 언급한 경우 유연한 Beanstalk) 가 포함되어야 하며 주요 기술 변화, 사용자 요구 사항 변화 및 조직 요구 사항 변화로 인해 정기적으로 검토하고 업데이트해야 합니다.