Sicurezza applicativa in un modello di rilascio del tipo Platform as a Service (PaaS)
I fornitori di Platform as a Service (PaaS) mettono a disposizione non solo l'ambiente di runtime per l'applicazione, ma anche uno stack applicativo integrato.
L'ambiente PaaS comprende i livelli di integrazione e middleware e fornisce ulteriori componenti applicativi che si collocano al di sopra dei servizi forniti dalle piattaforme di tipo IaaS come, per esempio, un Enterprise Service Bus (ESB).
Nel valutare l'impatto del PaaS sull'architettura di sicurezza delle applicazioni si deve tenere conto che questo tipo di piattaforme fornisce anche l'ambiente di programmazione per accedere e utilizzare i componenti applicativi aggiuntivi, il quale ha un impatto non trascurabile sull'architettura dell'applicazione.
Per esempio, può imporre dei vincoli al fine di gestire al meglio il proprio ambiente multi-tenant, limitando i servizi del sistema operativo che l'applicazione può richiedere: per esempio un ambiente PaaS può limitare l'accesso a determinate parti del file system.
Anche quando i componenti della piattaforma PaaS sono simili alle loro controparti aziendali (per esempio hanno entrambi un ESB), la natura multi-tenant dell'ambiente di cloud porta a richiedere un riesame dei meccanismi di fiducia.
Così come in un ambiente IaaS la rete è multi-tenant, in un ambiente PaaS l'ESB risulterà condiviso e la garanzia di sicurezza dei messaggi scambiati attraverso l'ESB ricadrà sotto la responsabilità dell'applicazione. Infatti, controlli quali, per esempio, la segmentazione dell'ESB in base alla classificazione dei dati, non sono disponibili in ambienti PaaS.
In relazione ai dati sensibili, sulle piattaforme PaaS si presentano gli stessi requisiti per la gestione a livello di applicazione già evidenziati nel caso IaaS.
Anche in questo caso il tema dello sviluppo di applicazioni per una piattaforma di PaaS deve prendere in considerazione i rischi aggiuntivi specifici legati al ciclo di sviluppo del software in ambiente cloud, che risentono della mancanza di modelli per la progettazione sicura, di standard di sicurezza per le specifiche tecnologie applicative e di strumenti per garantire la sicurezza.