给与DevOps和云来敦促数字化转型的公司越来越多地转向无处事器计算,也称为“成果即处事”(FaaS),将资源密集型运营职责从开发人员转移到云供给商。按照云原生计算基金会的说法,无处事器技术的使用量激增,自2017年12月以来增长了22%,26%的组织打算在未来12到18个月内部署,以最大限度地提高运营效率,并使应用措施开发人员能够专注于他们的核心事情本能机能 - 编写代码。
然而,向供给商放弃根本设施控制会给开发团队和安适团队带来一系列新的危害,包孕传统安适工具集无法捕获的几个主要盲点:
许多组织与其他类型的事情负载(如容器或虚拟机)一起运行基于处事器的应用措施。每个添加的元素都为环境带来了新的庞大层。别的,由于无处事器成果不停措置惩罚惩罚来自众多来源的数据 - 从API,云存储到动静行列队伍,仅举几例 - 组织很快就会忘记谁卖力掩护这些移动部件中的哪一个。跟着输入源和数据流的增加,环境变得越来越庞大,整个打击面也越来越庞大。
在无处事器环境中,当根本架构打击面减少时,应用措施打击面仍然像部署在您本身的VM或容器上的应用措施一样容易受到打击。然而,作为一项相当新的技术,许多开发和安适团队并未完全理解无处事器架构所存在的奇特安适危害 - 更不用说如何丰裕控制和预防它们。
在无处事器环境中,每个应用措施都包罗许多特定成果。这些成果中的每一个都需要必然水平的访谒权来执行它需要做的工作。但是,凡是会为成果分配完全权限,以免降低事情流速度。这会带来很大的安适危害,因为未经身份验证的内部用户和外部打击者可能会通过提升访谒权限来粉碎成果,独霸应用措施流并采纳未经授权的操纵。使用强身份访谒打点(IAM)计谋成立成果级别分段至关重要。
如果无处事器环境需要访谒虚拟私有云(VPC),则执行最小权限原则以确保用户具有执行其预期成果所需的最低访谒级别也很重要。一套“忘失它”的要领必定会掉败。一旦这些安适计谋得到牢固,组织必需在部署时连续监控成果,以快速识别网络和其他异常之间可疑的入站或出站流量,以防备赶过传统掩护层的高级打击。
大大都应用措施都需要奥秘--API密钥,访谒凭证,令牌,暗码等。开发人员只需在纯文本配置文件或环境变量中存储这些机密和访谒密钥,这是一种常见的(也是危险的)做法。对付精明的打击者来说,这是微不敷道的果实。为了制止这些危害并连结合规性,成果代码中的所有凭证都应存储在内存中,并通过奥秘存储进行访谒。如果由于某种原因,该成果确实需要使用恒久存在的奥秘,则应加密奥秘。可以操作云供给商的密钥打点处事来自动打点,维护和检索这些奥秘。
由于无处事器凡是只是组织奇特的云战略的一部分,因此安适团队凡是难以在大众和私有云数据中心网格中连结对其安适状态的完整而准确的视图 - 从无处事器和容器到第三方处事。这是因为每个事情负载供给者都遵循本身的安适框架,这使得组织几乎不成能一起打点和控制每个难题。在这种动态和差此外环境中,组织需要更实用,统一和自动化的方法来实施和打点安适计谋,并有效地控制各类云原生处事,根本架谈判环境。
无处事器成果凡是依赖于第三方处事和软件,例如API,开源软件包和库。如果没有智能,自动化的方法来发明,不停审查和控制这些第三方处事,组织就可以为潜在的缝隙打开大门,这些缝隙可以为缝隙操作和数据丢掉铺平门路。
旧版和共享安适工具有限制
为数据中心设计的传统安适工具加剧了这种无处事器安适性和可不雅察看性的困境。传统的防火墙和端点掩护工具甚至云安适组都缺乏须要的应用措施感知,细粒度控制和检测和防备高级打击所必须的高级异常检测机制。别的,云供给商供给有限的威胁检测笼罩范畴,因为他们对基于网络的打击(例如DNS泄漏,欺骗和横向移动)视而不见。因此,企业需要特别的网络掩护层,这些网络掩护目前尚未由AWS,Google和Azure等领先供给商供给。
虽然将无处事器等同于组织的安适责任等同于诱人,但共享责任模型仍然适用。但这并不意味着组织必需以安适的速度和敏捷性进行交易。通过遵循掩护无处事器环境和操作简化和统一云运营掩护的云原生工具的最佳实践,组织可以充塞信心地继续他们的数字转型之旅。