平台即服务解决方案是安全的：除非您对它们进行了错误配置

[]如果不是技术本身，技术通常会给我们带来最初不会出现的问题。例如，查看大规模的医学进步或无法识别的业务转型。当您偶然发现源于技术集成的无数奇迹时，就很难抱怨技术了。

然而，每一次进步都会带来更多的弱点，尤其是如果它与人类相互依赖的话。人为错误使得最复杂的IT服务在实现过程中存在缺陷，因为存在巨大的失误或明显的遗漏。

平台即服务（PaaS）就是一个例子。我们不能否认这样一个事实：由数据科学的多学科领域所支持的数据优化，使企业能够保持成功。毫无疑问，PaaS在这场包容性革命中的作用始终是以企业和客户之间的互动促进者为中心的。

有许多PaaS解决方案，例如AWS Lambda，OpenShift，Salesforce等，在设计时都考虑了简单性，可扩展性和可靠性，这些服务已完全扭转了传统客户的体验。他们为组织处理面向客户的数据的一半以上的组件，并确保增强的个性化，改进的服务和更高的价值增长。

另一方面，PaaS还允许CISO，IT和安全人员，公民开发人员以及几乎任何在组织内管理信息技术基础结构的人员来管理公司的治理。只要有问题的专业人员有足够的资格这样做就可以了，通常情况并非如此。

缺乏采取先发制人的措施以减轻内部和外部对组织的安全威胁所必需的充分控制或理解，甚至使PaaS解决方案所配备的动手安全框架都无效。人类无法履行他们共同承担的责任，这对于确保合规至关重要，因此对于组织而言是成功的。

让我们来看看一些实时事件，以便更好地理解人与技术的不相容性。你还记得美国医疗采集机构（AMCA）的数据泄露了近2500万病人的信息吗？或者说，在服务器迁移过程中，医疗技术公司泄露了机密的健康信息？或是揭露信用卡客户个人信息的资本公司，包括人们的社会保险号码、银行交易和余额等，甚至还有金融服务公司，其中420万会员因其一名员工而受到影响。

所有这些和更多的漏洞或多或少是由组织管理员或开发人员形式的人为错误引起的。同样，在任何情况下，这种意图也不一定是恶意的，如果有的话，指派的IT专家在尝试尽其所能帮助组织时会成为受害者。

这表明未能充分利用技术驱动的安全解决方案的潜力。如果正确实施以采用必需的控件以限制可访问性，那么所有提到的情况实际上都是可以避免的。

PaaS提供的强大的安全服务并不是要保持“购买并开启”的状态，而实际上是为了采取以下措施：提供风险见解并避免网络犯罪尝试。

对于经常投资于多种安全功能但不实践或促进基于现实安全威胁而创建的治理结构的组织，情况也是如此，除了由于缺乏对安全性的了解以外，还没有启用安全功能。责任。

错误配置使平台作为服务不安全

毫无疑问，PaaS附带了非凡的安全能力，我们可以而且应该质疑的是使整个服务不安全的配置方式或实施做法。通常情况下，优先级列表上的数据治理不充分。组织漏洞的常见原因之一是不需要的来源或整个组织对平台上存储的数据具有不受限制的可访问性。您不仅可以授予公司任何人员和所有人高管访问权限，而且在汹涌的危机对其造成破坏时会感到震惊。

好消息是，纠正这些普遍存在的错误是非常有可能的。您需要采取的第一步是确定存储在企业PaaS上的数据的性质。因此，您可以制定一个称职的数据管理计划来简化和说明从内部合规性到股东责任等所有方面。

如何确保全面的安全性

想象一下有道德的黑客会做什么，或者Netflix的ChaosMonkey弹性工具会做什么？它们在方法上本质上并不相同，但在目标上却再相似不过。评估您的平台安全性，以找到任何弱点，并比以前更强地对其进行修补。

一秒钟之内不要相信你已经获得了任何荣誉，如果有什么真正的挑战开始于不断的风险评估、安全更新、性能评估等。一旦你对正在进行的安全评估有足够的信心，执行以下几步，以确保你的平台的完全安全。

隔离控制组件：确定绝对安全性的第一步是缩小可访问性范围。隔离那些对您的PaaS数据具有所有控制级别的人员，并评估其长期使用情况。不幸的是，根本找不到任何人，您应该开始朝着面临严重问题的方向思考。

数据整理：整理和组织数据清单是一项繁琐的任务，但是无法确定存储的数据种类及其对您或公司的意义。组织将根据价值给出线索和上下文，以便您可以部署适当的控制措施以防止任何威胁。

筛选访问权限：限制访问PaaS平台信息是您成功的一半，想象一下筛选具有授权访问权限的访问证明是多么有效。他们访问的内容或访问数据的时间，所有这些加起来都会生成数字跟踪，从而为您提供安全措施的最新状态。

始终维护云计算并非易事，但鉴于正在进行的过渡以及未来的前景，无论您是否喜欢它，这里都将保留下来。光是巨大的好处就让维护的麻烦变得值得每一点努力。[]