無服務(wù)器云安全:如何保護(hù)無服務(wù)器計算

2021-02-06    分類: 網(wǎng)站建設(shè)

無服務(wù)器計算是

無服務(wù)器計算的風(fēng)險

雖然無服務(wù)器計算為組織提供了一種更敏捷的不同服務(wù)交付方法,但它也是一種不同的部署和管理范例,可能會帶來新的風(fēng)險。

組織應(yīng)考慮的無服務(wù)器計算風(fēng)險包括:

  • 供應(yīng)商安全性:無服務(wù)器功能在提供商的基礎(chǔ)設(shè)施上執(zhí)行,這可能安全也有可能不安全。
  • 多租戶:無服務(wù)器服務(wù)中的功能通常運行在為多個客戶運行代碼的共享基礎(chǔ)設(shè)施上;當(dāng)涉及敏感數(shù)據(jù)時,這可能是一個問題。
  • 注入攻擊:在注入攻擊中,未經(jīng)授權(quán)或意外的內(nèi)容或數(shù)據(jù)被注入應(yīng)用程序流;而在無服務(wù)器模型中,注入攻擊可以來自無服務(wù)器功能調(diào)用以執(zhí)行的事件。
  • 加密:無服務(wù)器功能通??梢哉{(diào)用數(shù)據(jù)庫和其他特權(quán)資源;如果連接未加密,則可能會泄露數(shù)據(jù)。
  • 安全性錯誤配置:為了能夠訪問不同的資源,開發(fā)人員可能會直接將訪問密鑰、令牌、密碼輸入到該功能中;而沒有保護(hù)這些秘密是一種風(fēng)險。
  • 功能權(quán)限:通常無服務(wù)器功能被授予與服務(wù)器可能獲得的相同權(quán)限。但是,無服務(wù)器功能只需要最低限度的權(quán)限即可執(zhí)行,而過度配置權(quán)限會使該功能面臨潛在風(fēng)險。
  • 組件漏洞:功能通常依賴于第三方庫和組件的供應(yīng)鏈。如果其中一個組件中存在已知(或未知)漏洞,則可能會利用無服務(wù)器功能。

如何管理無服務(wù)器安全性

管理無服務(wù)器安全性就是要有適當(dāng)?shù)目刂坪筒呗?。雖然云計算服務(wù)器安全策略可能對云中的虛擬計算服務(wù)器實例有效,但無服務(wù)器計算需要額外的控制級別、粒度、可見性。

減少無服務(wù)器權(quán)限

無服務(wù)器計算的大風(fēng)險是具有比所需更多權(quán)限的功能。通過無服務(wù)器,可以通過為所有已部署的功能實施最小權(quán)限模型顯著地減少攻擊面。在功能的開發(fā)階段,可以在暫存環(huán)境中設(shè)置自動檢查,從而減少權(quán)限數(shù)量。通過分析功能行為,還可以查看正在運行的功能實際使用的特權(quán)。通過該可見性,管理員可以具有訪問權(quán)限以僅啟用所需權(quán)限。

實施身份驗證

調(diào)用服務(wù)的所有功能,無論是否在同一云計算提供商內(nèi)部,都必須要求訪問控制和身份驗證才能幫助限制風(fēng)險。云計算提供商提供有關(guān)如何實施無服務(wù)器身份驗證的好實踐的指導(dǎo),管理員應(yīng)遵循這些實踐。

使用云平臺提供程序控件

云計算提供商還具有多種內(nèi)置服務(wù),可幫助用戶識別潛在的錯誤配置。例如,AWS Trusted Advisor是運行AWS Lambda的選項。

日志功能活動

由于無服務(wù)器功能是事件驅(qū)動和無狀態(tài)的,因此查看實時活動通常會錯過大多數(shù)活動。通過對無服務(wù)器使用云計算提供程序(或第三方)日志記錄和監(jiān)視,可以在需要威脅搜索時使用審計跟蹤。

監(jiān)控功能層

功能可以有多個層,可以調(diào)用不同的代碼和第三方數(shù)據(jù)庫。通過監(jiān)控功能層,管理員可以識別注入和惡意活動的嘗試。

考慮第三方安全工具

雖然無服務(wù)器平臺提供商通常集成了一些安全控制,但它們的范圍往往有限,只關(guān)注運行這些功能的平臺。有多種第三方工具和技術(shù)可為無服務(wù)器計算提供額外的可見性和控制層。

無服務(wù)器計算安全供應(yīng)商

無服務(wù)器計算安全工具的市場是一個相對較新的市場,但該領(lǐng)域已經(jīng)有多家供應(yīng)商。與容器安全供應(yīng)商存在一些重疊(可以參閱eSecurity Planet的頂級容器安全供應(yīng)商列表),因為無服務(wù)器技術(shù)通常涉及使用短期無狀態(tài)容器。

Aqua Security

Aqua Security提供完整的容器和無服務(wù)器安全平臺,可幫助組織評估和減輕無服務(wù)器風(fēng)險。

Nuweba

Nuweba是無服務(wù)器行業(yè)領(lǐng)域的新秀,于2019年2月脫穎而出,擁有自己的安全功能即服務(wù)平臺,可與主要公共云提供商的無服務(wù)器服務(wù)集成。

Puresec

PureSec無服務(wù)器安全平臺專為無服務(wù)器安全性的挑戰(zhàn)而構(gòu)建,可以集成到組織現(xiàn)有的持續(xù)集成/持續(xù)開發(fā)(CI/CD)工作流程中。

Protego Labs

Protego Labs還專注于無服務(wù)器安全性,旨在提供從開發(fā)到部署的全生命周期安全性。

Snyk

Snyk平臺使組織能夠持續(xù)掃描功能,以幫助識別任何潛在風(fēng)險。

Twistlock

Twistlock的平臺在整個開發(fā)和部署生命周期中為容器和無服務(wù)器功能提供安全性。

網(wǎng)站欄目:無服務(wù)器云安全:如何保護(hù)無服務(wù)器計算
文章路徑:http://muchs.cn/news19/99519.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站策劃、虛擬主機(jī)搜索引擎優(yōu)化、響應(yīng)式網(wǎng)站、網(wǎng)站建設(shè)、動態(tài)網(wǎng)站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

成都網(wǎng)頁設(shè)計公司