【PaaS组件安全体系建设】
PaaS(Platform as a Service)平台是云计算的一种服务模式,它提供了应用程序的开发、运行和管理环境。随着开源软件的广泛应用,PaaS组件的安全性成为了企业信息化建设的重要议题。游耀东,来自中国电信上海研究院,探讨了基于开源治理的PaaS组件安全体系建设,旨在构建一个安全、可控的PaaS环境。
PaaS组件的种类繁多,涵盖了数据库(如CTG-TELEDB、CTG-UDAL、Hbase、TelePG、CTG-GDB)、分布式缓存(CTG-CACHE)、消息中间件(CTG-MQ)、小文件系统(CTG-DFS)、计算框架(FM-MJJS、CCSE)、负载均衡(CTG-SLB)、任务调度(CTG-DTTS)、数据同步(CTG-IDC-SYN)等。这些组件构成了PaaS平台的基础架构,支撑着各种业务应用的运行。
在当前的PaaS组件清单中,既有自主研发的组件,也有采用的开源组件。开源组件如OpenTSDB(时序数据库)、Hive(数据仓库)、Kafka(消息中间件)、SpringCloud(分布式服务框架)、Flink(流处理框架)等,它们为企业带来了灵活性和成本优势,但同时也带来了安全挑战。
面临的问题主要体现在以下几个方面:
1. **开源软件来源安全**:大量的开发团队如何有效地管理和控制开源软件,确保其安全性和合规性。
2. **安全检测效率**:如何快速响应开源组件的潜在威胁,进行安全检测,并进行及时的漏洞修复。
3. **资源池安全**:PaaS平台需要对接总部、省公司、专业公司的机房资源,需要有统一的资产安全视图和安全策略。
4. **人才与能力**:安全专家和能力分散,开发、运维和业务之间的协作有待加强,安全人员的流失可能导致能力真空。
为解决这些问题,游耀东提出了以下目标和措施:
1. **统一漏洞检测**:引入黑盒测试和SCA(Software Composition Analysis)工具,对组件进行统一的安全扫描和管控。
2. **制定基线标准**:建立PaaS组件的统一安全基线,设定入网检测流程,确保组件安全。
3. **开源治理**:通过持续监控开源组件的安全态势,及时发现并应对安全漏洞。
4. **安全团队建设**:组建统一的安全团队,建立与开发、运维、业务的沟通机制,固化安全流程。
5. **安全运营管理**:统一漏洞扫描工具和运维策略,制定PaaS组件安全基线,形成全网安全视图。
6. **制度保障**:制定并执行相应的安全管理规范,如《PaaS平台组件技术检测管理细则》等。
通过以上举措,旨在实现PaaS组件的安全入网和安全运营。在入网前,进行合规性和漏洞检测;入网后,持续进行安全风险监测、漏洞定期检测和基线核查。同时,通过安全培训、安全众测和知识竞赛提升团队的安全意识和能力,确保PaaS组件的安全生命周期管理。
基于开源治理的PaaS组件安全体系建设是一项系统工程,涉及到组件的选择、安全标准的制定、风险的监控和响应,以及团队和流程的建设。通过不断优化和完善,可以构建一个安全可靠、高效运营的PaaS环境,支撑企业的数字化转型。
