RM新时代网站-首页

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評(píng)論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會(huì)員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

剖析無(wú)服務(wù)器 (Serverless) 架構(gòu)基礎(chǔ)安全指南

電子工程師 ? 來(lái)源:賢集網(wǎng) ? 作者:通訊基站 ? 2021-03-24 11:41 ? 次閱讀

無(wú)服務(wù)器(Serverless)架構(gòu)使組織無(wú)需內(nèi)部服務(wù)器即可大規(guī)模構(gòu)建和部署軟件。像函數(shù)即服務(wù)(FaaS)模型這樣的微服務(wù)盛行,推動(dòng)了無(wú)服務(wù)器架構(gòu)的普及。無(wú)服務(wù)器架構(gòu)能夠節(jié)省巨大的成本,并為大規(guī)??缮炜s性提供靈活性。

本文將概述確保無(wú)服務(wù)器架構(gòu)的安全性應(yīng)考慮的關(guān)鍵領(lǐng)域。雖然最適合的無(wú)服務(wù)器生態(tài)系統(tǒng)的解決方案是獨(dú)一無(wú)二的,但以下內(nèi)容將為建立無(wú)服務(wù)器架構(gòu)安全方法提供堅(jiān)實(shí)的基礎(chǔ)。

流動(dòng)的攻擊面

簡(jiǎn)而言之,軟件環(huán)境的攻擊面包括未經(jīng)授權(quán)用戶可以輸入或提取數(shù)據(jù)的所有點(diǎn)。了解和監(jiān)控這些點(diǎn)是有效實(shí)現(xiàn)無(wú)服務(wù)器安全的關(guān)鍵。

無(wú)服務(wù)器系統(tǒng)由數(shù)十個(gè)、數(shù)百個(gè)甚至數(shù)千個(gè)組件組成。每一個(gè)新的工具、服務(wù)或平臺(tái)集成到無(wú)服務(wù)器系統(tǒng)中,都為惡意和未經(jīng)授權(quán)的用戶提供了新的切入點(diǎn)。每次擴(kuò)展和修整無(wú)服務(wù)器架構(gòu)時(shí),攻擊面都會(huì)發(fā)生變化。

此外,由于無(wú)服務(wù)器架構(gòu)的入口點(diǎn)眾多且拓?fù)鋸?fù)雜,無(wú)服務(wù)器攻擊面是多層次、多維度的。無(wú)服務(wù)器架構(gòu)的攻擊面具有很高的復(fù)雜性和波動(dòng)性,因此人工映射和監(jiān)控這些攻擊面幾乎不可能。

自動(dòng)映射和監(jiān)控?zé)o服務(wù)器架構(gòu)

對(duì)于無(wú)服務(wù)器系統(tǒng)的自動(dòng)化監(jiān)控和發(fā)現(xiàn),使你可以領(lǐng)先威脅一步,找到系統(tǒng)的安全薄弱點(diǎn)。你只能保護(hù)你能看到的東西。除非監(jiān)控工具可以隨著系統(tǒng)的擴(kuò)展而增加其可見性范圍,否則系統(tǒng)的大部分可見性將很快消失。

在無(wú)服務(wù)器架構(gòu)中,很有可能會(huì)采用自動(dòng)連續(xù)部署。這意味著攻擊面上的新弱點(diǎn)也在不斷地自動(dòng)生成。如果監(jiān)控和發(fā)現(xiàn)能力無(wú)法跟上,無(wú)服務(wù)器架構(gòu)中新的部分將很容易受到攻擊。

幸運(yùn)的是,有可用的平臺(tái)可以實(shí)時(shí)映射和監(jiān)控?zé)o服務(wù)器架構(gòu)。許多平臺(tái)功能擴(kuò)展了安全性,能指出未經(jīng)授權(quán)的用戶可以惡意操縱數(shù)據(jù)的位置。其中的某些平臺(tái)在設(shè)計(jì)時(shí)特別考慮了無(wú)服務(wù)器安全性。

數(shù)據(jù)注入:最常見的無(wú)服務(wù)器安全風(fēng)險(xiǎn)

對(duì)于無(wú)服務(wù)器架構(gòu),數(shù)據(jù)注入是最常見安全風(fēng)險(xiǎn)。自第一個(gè)無(wú)服務(wù)器系統(tǒng)上線以來(lái),注入漏洞已成為無(wú)服務(wù)器安全討論的普遍特征。

無(wú)服務(wù)器架構(gòu)的每個(gè)組件和函數(shù)都需要來(lái)自大量來(lái)源的輸入。這些輸入可能是云存儲(chǔ)事件、來(lái)自API網(wǎng)關(guān)的命令、消息隊(duì)列事件、數(shù)據(jù)庫(kù)更改、來(lái)自IoT遙測(cè)的信號(hào)、甚至是電子郵件。這個(gè)輸入列表實(shí)際上是無(wú)限的,僅受限于架構(gòu)的規(guī)模和內(nèi)容。

可以說(shuō),規(guī)模越大,函數(shù)輸入數(shù)據(jù)的來(lái)源就越豐富。

這些確實(shí)是已看到的問(wèn)題。每一種不同類型的來(lái)源均帶有獨(dú)特的消息格式和編碼方案。其中的任何一種都可能包含不受信任或受攻擊者控制的輸入。預(yù)測(cè)和消除這些惡意注入是一個(gè)艱巨的挑戰(zhàn)。

投資函數(shù)監(jiān)控和日志記錄,實(shí)現(xiàn)強(qiáng)大的無(wú)服務(wù)器安全性

在這種情況下,“投資”不一定指金融投資。時(shí)間和精力更為重要,盡管已發(fā)現(xiàn)投入時(shí)間和精力不足,會(huì)帶來(lái)額外的代價(jià)。不要拖延時(shí)間和精力的投入。重大安全漏洞造成的代價(jià)影響,遠(yuǎn)遠(yuǎn)超過(guò)保護(hù)自己免受此類侵害的相對(duì)較低的投入。

許多云供應(yīng)商提供了基本形式的日志記錄功能或函數(shù),常見示例包括AWS CloudWatch或Azure函數(shù)。盡管這些函數(shù)為無(wú)服務(wù)器環(huán)境啟用了非?;镜娜罩居涗洠谴鷥r(jià)可能很高,并且一旦無(wú)服務(wù)器架構(gòu)擴(kuò)展到一定規(guī)?;蛞欢ǔ潭鹊膹?fù)雜性時(shí),它們就可能無(wú)法滿足你的要求。

開箱即用的解決方案并不總是適合需求。盡管它們具有基本函數(shù),但它們可能缺乏在應(yīng)用程序?qū)舆M(jìn)行全面安全事件審計(jì)的能力。無(wú)服務(wù)器架構(gòu)的規(guī)模和形態(tài)的設(shè)計(jì)越獨(dú)特,這種解決方案的不適合性便越正確。有許多專家構(gòu)建的平臺(tái)和工具可用來(lái)彌補(bǔ)這些監(jiān)控和日志記錄的不足。

如何實(shí)施日志記錄

正如本文所說(shuō),函數(shù)監(jiān)控和日志記錄需要(但值得)投入一些時(shí)間和精力。在無(wú)服務(wù)器環(huán)境中使用函數(shù)日志記錄要克服的主要障礙是,監(jiān)控和日志記錄存在于組織數(shù)據(jù)中心范圍之外。

通過(guò)協(xié)調(diào)工程師,無(wú)服務(wù)器開發(fā)人員和DevOps團(tuán)隊(duì)來(lái)創(chuàng)建無(wú)服務(wù)器架構(gòu)獨(dú)有的日志記錄邏輯,該邏輯可以從各種云函數(shù)和服務(wù)中收集日志,并將其推送到遠(yuǎn)程SIEM(安全信息和事件管理)系統(tǒng)上。

在無(wú)服務(wù)器環(huán)境中一些已知的特別重要的日志報(bào)告類型包括身份驗(yàn)證和授權(quán)、嚴(yán)重錯(cuò)誤和故障、更改、惡意軟件活動(dòng)、網(wǎng)絡(luò)活動(dòng)和資源訪問(wèn)。

無(wú)論使用哪種無(wú)服務(wù)器架構(gòu)模型,其中的許多日志報(bào)告都是關(guān)鍵報(bào)告。但是,在復(fù)雜且不斷變化的無(wú)服務(wù)器環(huán)境中,監(jiān)控和可見性可能很棘手。創(chuàng)建可在單個(gè)存儲(chǔ)庫(kù)中隔離,提取和整理這些日志報(bào)告的邏輯,對(duì)于實(shí)時(shí)監(jiān)控整個(gè)架構(gòu)至關(guān)重要。

通過(guò)日志邏輯收集的日志需要存儲(chǔ)在某個(gè)地方。這是中間云存儲(chǔ)服務(wù)發(fā)揮作用的地方。通過(guò)使用單個(gè)外部系統(tǒng)來(lái)整理整個(gè)無(wú)服務(wù)器生態(tài)系統(tǒng)中的日志記錄信息,對(duì)安全事件進(jìn)行實(shí)時(shí)監(jiān)控。

在無(wú)服務(wù)器架構(gòu)的拓?fù)渲锌缢袩o(wú)服務(wù)器函數(shù)跟蹤和遏制攻擊者和惡意/未經(jīng)授權(quán)的輸入,而無(wú)需考慮層。

函數(shù)權(quán)限過(guò)高和身份驗(yàn)證失敗

如果沒有對(duì)函數(shù)和用戶進(jìn)行盡職調(diào)查和適當(dāng)?shù)膶彶?,則無(wú)服務(wù)器架構(gòu)中可能存在致命的弱點(diǎn)組合。

首先是健壯的身份驗(yàn)證。無(wú)服務(wù)器通常意味著面向微服務(wù)的架構(gòu)設(shè)計(jì)。微服務(wù)架構(gòu)可以包含數(shù)百個(gè)單獨(dú)的函數(shù)。除了充當(dāng)其他進(jìn)程的代理外,許多無(wú)服務(wù)器函數(shù)還會(huì)使用公共Web API暴露在外。這就是為什么應(yīng)用健壯的身份驗(yàn)證方案至關(guān)重要的原因。

隨著無(wú)服務(wù)器系統(tǒng)的發(fā)展,身份驗(yàn)證方案失敗或效率低下,可能會(huì)為未經(jīng)授權(quán)的用戶創(chuàng)建無(wú)限數(shù)量的訪問(wèn)點(diǎn)。這本身是危險(xiǎn)的,但是如果函數(shù)權(quán)限過(guò)高,則可能會(huì)造成災(zāi)難性的后果。

在具有數(shù)十甚至數(shù)百個(gè)組件的無(wú)服務(wù)器環(huán)境中,管理函數(shù)權(quán)限和角色感覺就像一場(chǎng)艱苦的戰(zhàn)斗。工程師犯下的最常見的安全錯(cuò)誤之一是試圖偷工減料并應(yīng)用“包羅萬(wàn)象”的權(quán)限模型。盡管這樣可以節(jié)省時(shí)間,但它使無(wú)服務(wù)器環(huán)境中的所有內(nèi)容都極易受到攻擊。

如果由于未遵守盡職調(diào)查而同時(shí)存在以上兩個(gè)缺陷,則無(wú)服務(wù)器系統(tǒng)很容易被惡意外部用戶訪問(wèn)。身份驗(yàn)證失敗會(huì)打開大門,函數(shù)權(quán)限過(guò)高會(huì)將無(wú)服務(wù)器系統(tǒng)交給進(jìn)入到系統(tǒng)的惡意外部用戶。在設(shè)計(jì),構(gòu)建和部署過(guò)程中通過(guò)透徹周到的考慮,可以避免這兩種情況。

進(jìn)一步的無(wú)服務(wù)器安全注意事項(xiàng)

當(dāng)然,還有其他考慮。例如,切記要停用過(guò)時(shí)的函數(shù)和云資源。這不僅有助于節(jié)約成本,而且舊的和未使用的組件會(huì)增加不必要的架構(gòu)攻擊面的維度。定期自動(dòng)整理無(wú)服務(wù)器環(huán)境,并刪除未使用的角色,身份和依賴項(xiàng)。

避免重用執(zhí)行環(huán)境也很重要。對(duì)于云供應(yīng)商而言,在兩次調(diào)用之間保留執(zhí)行環(huán)境可能很誘人。它使平臺(tái)在處理新的調(diào)用時(shí)效率更高。但是,當(dāng)執(zhí)行環(huán)境被保留下來(lái)時(shí),有價(jià)值的敏感數(shù)據(jù)可能會(huì)被保留下來(lái)。確保別以犧牲安全性為代價(jià)來(lái)實(shí)現(xiàn)效率。

無(wú)服務(wù)器環(huán)境是獨(dú)特的,因此實(shí)現(xiàn)無(wú)服務(wù)器安全性的方法也應(yīng)是獨(dú)特的。

這始終是最重要的考慮因素。無(wú)論是部署配置,權(quán)限模型還是日志記錄工具,開箱即用的解決方案都只能提供通用的保護(hù)。獨(dú)特的無(wú)服務(wù)器環(huán)境需要一種獨(dú)特的無(wú)服務(wù)器安全方法。

編輯:jq

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
  • 函數(shù)
    +關(guān)注

    關(guān)注

    3

    文章

    4327

    瀏覽量

    62569
  • FAA
    FAA
    +關(guān)注

    關(guān)注

    0

    文章

    18

    瀏覽量

    6848
  • serverless
    +關(guān)注

    關(guān)注

    0

    文章

    65

    瀏覽量

    4506
  • 無(wú)服務(wù)器
    +關(guān)注

    關(guān)注

    0

    文章

    16

    瀏覽量

    4066
收藏 人收藏

    評(píng)論

    相關(guān)推薦

    NTP服務(wù)器故障排除技巧 NTP服務(wù)器與網(wǎng)絡(luò)安全

    網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)服務(wù)器對(duì)于確保網(wǎng)絡(luò)中的設(shè)備時(shí)間同步至關(guān)重要。無(wú)論是在企業(yè)網(wǎng)絡(luò)還是數(shù)據(jù)中心,時(shí)間同步都是網(wǎng)絡(luò)安全和數(shù)據(jù)一致性的基礎(chǔ)。然而,NTP服務(wù)器可能會(huì)遇到各種問(wèn)題,從配置錯(cuò)誤到網(wǎng)絡(luò)
    的頭像 發(fā)表于 12-18 15:13 ?247次閱讀

    負(fù)載均衡服務(wù)器服務(wù)器如何連接?

    負(fù)載均衡服務(wù)器服務(wù)器如何連接?負(fù)載均衡服務(wù)器服務(wù)器可通過(guò)多種方式連接,包括直接連接、交換機(jī)連接、路由連接以及云計(jì)算環(huán)境中的連接。小型網(wǎng)
    的頭像 發(fā)表于 12-09 13:41 ?85次閱讀

    SSR與傳統(tǒng)服務(wù)器的對(duì)比分析

    隨著云計(jì)算技術(shù)的快速發(fā)展,Serverless架構(gòu)無(wú)服務(wù)器架構(gòu))逐漸成為業(yè)界關(guān)注的焦點(diǎn)。其中,SSR(
    的頭像 發(fā)表于 11-18 11:22 ?286次閱讀

    GPU服務(wù)器AI網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

    眾所周知,在大型模型訓(xùn)練中,通常采用每臺(tái)服務(wù)器配備多個(gè)GPU的集群架構(gòu)。在上一篇文章《高性能GPU服務(wù)器AI網(wǎng)絡(luò)架構(gòu)(上篇)》中,我們對(duì)GPU網(wǎng)絡(luò)中的核心術(shù)語(yǔ)與概念進(jìn)行了詳盡介紹。本文
    的頭像 發(fā)表于 11-05 16:20 ?308次閱讀
    GPU<b class='flag-5'>服務(wù)器</b>AI網(wǎng)絡(luò)<b class='flag-5'>架構(gòu)</b>設(shè)計(jì)

    基于高通主板的ARM架構(gòu)服務(wù)器

    一、ARM架構(gòu)服務(wù)器的崛起 (一)市場(chǎng)需求推動(dòng) 消費(fèi)市場(chǎng)寒冬,全球消費(fèi)電子需求下行,服務(wù)器成半導(dǎo)體核心動(dòng)力之一。Arm 加速布局服務(wù)器領(lǐng)域,如 9 月推出 Neoverse V2。長(zhǎng)久
    的頭像 發(fā)表于 09-11 10:53 ?500次閱讀

    服務(wù)器而言,ARM架構(gòu)與X86架構(gòu)有什么區(qū)別?各自的優(yōu)勢(shì)在哪里?

    一、服務(wù)器架構(gòu)概述 在數(shù)字化時(shí)代,服務(wù)器架構(gòu)至關(guān)重要。服務(wù)器是網(wǎng)絡(luò)核心節(jié)點(diǎn),存儲(chǔ)、處理和提供數(shù)據(jù)與服務(wù)
    的頭像 發(fā)表于 09-09 14:05 ?1718次閱讀

    gpu服務(wù)器與cpu服務(wù)器的區(qū)別對(duì)比,終于知道怎么選了!

    gpu服務(wù)器與cpu服務(wù)器的區(qū)別主要體現(xiàn)在架構(gòu)設(shè)計(jì)、性能特點(diǎn)、能耗效率、應(yīng)用場(chǎng)景、市場(chǎng)定位等方面,在以上幾個(gè)方面均存在顯著差異。CPU服務(wù)器更適合數(shù)據(jù)庫(kù)管理和企業(yè)應(yīng)用,而GPU
    的頭像 發(fā)表于 08-01 11:41 ?483次閱讀

    ai服務(wù)器是什么架構(gòu)類型

    AI服務(wù)器,即人工智能服務(wù)器,是專門為人工智能應(yīng)用設(shè)計(jì)的高性能計(jì)算服務(wù)器。AI服務(wù)器架構(gòu)類型有很多種,以下是一些常見的
    的頭像 發(fā)表于 07-02 09:51 ?1048次閱讀

    接口測(cè)試怎么測(cè)多個(gè)服務(wù)器連接

    行接口測(cè)試,包括測(cè)試策略、測(cè)試方法和測(cè)試工具。 1. 理解多服務(wù)器架構(gòu) 在開始接口測(cè)試之前,首先要了解多服務(wù)器架構(gòu)的基本概念。多服務(wù)器
    的頭像 發(fā)表于 05-30 15:16 ?412次閱讀

    華為云函數(shù)工作流:引領(lǐng)未來(lái)無(wú)服務(wù)器計(jì)算時(shí)代

    在當(dāng)今數(shù)字化飛速發(fā)展的時(shí)代,企業(yè)和個(gè)人對(duì)于計(jì)算資源的需求越來(lái)越高,但傳統(tǒng)的服務(wù)器架構(gòu)帶來(lái)的管理成本和資源浪費(fèi)問(wèn)題也愈發(fā)凸顯。為解決這一難題,華為云引領(lǐng)著無(wú)服務(wù)器計(jì)算的浪潮,推出了函數(shù)工
    的頭像 發(fā)表于 05-27 10:50 ?354次閱讀
    華為云函數(shù)工作流:引領(lǐng)未來(lái)<b class='flag-5'>無(wú)</b><b class='flag-5'>服務(wù)器</b>計(jì)算時(shí)代

    服務(wù)器監(jiān)控完整指南

    運(yùn)行混合云環(huán)境時(shí)。下面,恒訊科技小編我給大家介紹下云服務(wù)器監(jiān)控完整指南。 一、什么是云服務(wù)器監(jiān)控? 我們應(yīng)該根據(jù)既定的自定義指標(biāo)持續(xù)監(jiān)控您的系統(tǒng),以確保其應(yīng)用程序性能。 大多數(shù)云提供商都會(huì)收集監(jiān)控?cái)?shù)據(jù),并通過(guò)A
    的頭像 發(fā)表于 03-20 17:19 ?406次閱讀

    服務(wù)器遠(yuǎn)程不上服務(wù)器怎么辦?服務(wù)器無(wú)法遠(yuǎn)程的原因是什么?

    、安全軟件問(wèn)題 被安全軟件屏蔽了 解決辦法:檢查云鎖和安全狗類安全軟件有沒有把電腦本地IP加入服務(wù)器白名單中,如果沒有的話就把電腦本地IP加
    發(fā)表于 02-27 16:21

    linux服務(wù)器和windows服務(wù)器

    和適用性。 首先,Linux服務(wù)器是一種基于開源的操作系統(tǒng),其內(nèi)核是由許多個(gè)人和組織共同開發(fā)和維護(hù)的。它具有高度的穩(wěn)定性和安全 性。由于Linux操作系統(tǒng)的開放性,用戶可以根據(jù)自己的需求和喜好進(jìn)行自定義配置
    發(fā)表于 02-22 15:46

    鴻蒙原生應(yīng)用元服務(wù)實(shí)戰(zhàn)-Serverless華為賬戶認(rèn)證登錄需盡快適配

    一、ArkTS\\\\API9,服務(wù)器端基于serverless開發(fā)的應(yīng)用與元服務(wù)華為賬號(hào)注冊(cè)登錄功能暫時(shí)是不支持的 二、3月1日后的審核要求 3月1日的時(shí)間是快到了。 三、會(huì)導(dǎo)致的結(jié)果
    發(fā)表于 02-20 10:14

    獨(dú)立服務(wù)器和云服務(wù)器的區(qū)別

    獨(dú)立服務(wù)器和云服務(wù)器的區(qū)別是很多用戶在選擇服務(wù)器時(shí)要做的課程,那么獨(dú)立服務(wù)器和云服務(wù)器的區(qū)別有哪些呢?
    的頭像 發(fā)表于 01-17 10:58 ?848次閱讀
    RM新时代网站-首页