關(guān)于無(wú)服務(wù)器云安全，如何保護(hù)無(wú)服務(wù)器計(jì)算

（文章來(lái)源：企業(yè)網(wǎng)）

無(wú)服務(wù)器計(jì)算是云計(jì)算發(fā)展的最新趨勢(shì)之一，也是最復(fù)雜的趨勢(shì)之一。與任何一個(gè)新技術(shù)一樣，無(wú)服務(wù)器計(jì)算也帶來(lái)了新的技術(shù)風(fēng)險(xiǎn)。因此，組織需要了解無(wú)服務(wù)器是什么，以及其需要采取的安全步驟，以使無(wú)服務(wù)器工作負(fù)載安全運(yùn)行。通過(guò)無(wú)服務(wù)器計(jì)算，云計(jì)算能夠以最原始的級(jí)別表達(dá)，無(wú)需組織運(yùn)行自己的物理服務(wù)器。無(wú)服務(wù)器計(jì)算的倡導(dǎo)者稱贊其純粹服務(wù)的方法，而懷疑論者則表示將面臨復(fù)雜性和安全性的問(wèn)題。

那么無(wú)服務(wù)器的云計(jì)算到底是什么？也許更重要的是，組織如何采取主動(dòng)措施來(lái)保護(hù)它？什么是無(wú)服務(wù)器計(jì)算？無(wú)服務(wù)器計(jì)算有時(shí)也被稱為“功能即服務(wù)”，這可能是一個(gè)更具描述性的術(shù)語(yǔ)。無(wú)服務(wù)器也被一些供應(yīng)商稱為事件驅(qū)動(dòng)計(jì)算。借助云計(jì)算，組織不需要自己采用物理服務(wù)器，而是采用提供運(yùn)行應(yīng)用程序的虛擬服務(wù)器計(jì)算實(shí)例。在無(wú)服務(wù)器模型中，服務(wù)組件更進(jìn)一步提升，其服務(wù)器本身被抽象了。

簡(jiǎn)而言之，對(duì)于無(wú)服務(wù)器的情況，與其他云計(jì)算服務(wù)一樣，不需要長(zhǎng)時(shí)間運(yùn)行的服務(wù)器或容器，而是執(zhí)行簡(jiǎn)單的功能來(lái)基于事件觸發(fā)器實(shí)現(xiàn)給定的任務(wù)。例如，不需要長(zhǎng)時(shí)間運(yùn)行的電子郵件服務(wù)，而是使用無(wú)服務(wù)器電子郵件功能，只需要發(fā)送電子郵件，就可以觸發(fā)電子郵件功能。無(wú)服務(wù)器計(jì)算是AWS lambda服務(wù)的先驅(qū)者，現(xiàn)在它也可以在微軟的Azure公共云和谷歌云平臺(tái)（GCP）上使用。還有多個(gè)開(kāi)放源代碼選項(xiàng)，支持私有云和Kubernetes容器編排系統(tǒng)部署的無(wú)服務(wù)器。

雖然無(wú)服務(wù)器計(jì)算為組織提供了一種更敏捷的不同服務(wù)交付方法，但它也是一種不同的部署和管理范例，可能會(huì)帶來(lái)新的風(fēng)險(xiǎn)。組織應(yīng)考慮的無(wú)服務(wù)器計(jì)算風(fēng)險(xiǎn)包括：供應(yīng)商安全性：無(wú)服務(wù)器功能在提供商的基礎(chǔ)設(shè)施上執(zhí)行，這可能安全也有可能不安全。多租戶：無(wú)服務(wù)器服務(wù)中的功能通常運(yùn)行在為多個(gè)客戶運(yùn)行代碼的共享基礎(chǔ)設(shè)施上；當(dāng)涉及敏感數(shù)據(jù)時(shí)，這可能是一個(gè)問(wèn)題。

注入攻擊：在注入攻擊中，未經(jīng)授權(quán)或意外的內(nèi)容或數(shù)據(jù)被注入應(yīng)用程序流；而在無(wú)服務(wù)器模型中，注入攻擊可以來(lái)自無(wú)服務(wù)器功能調(diào)用以執(zhí)行的事件。加密：無(wú)服務(wù)器功能通常可以調(diào)用數(shù)據(jù)庫(kù)和其他特權(quán)資源；如果連接未加密，則可能會(huì)泄露數(shù)據(jù)。安全性錯(cuò)誤配置：為了能夠訪問(wèn)不同的資源，開(kāi)發(fā)人員可能會(huì)直接將訪問(wèn)密鑰、令牌、密碼輸入到該功能中；而沒(méi)有保護(hù)這些秘密是一種風(fēng)險(xiǎn)。

功能權(quán)限：通常無(wú)服務(wù)器功能被授予與服務(wù)器可能獲得的相同權(quán)限。但是，無(wú)服務(wù)器功能只需要最低限度的權(quán)限即可執(zhí)行，而過(guò)度配置權(quán)限會(huì)使該功能面臨潛在風(fēng)險(xiǎn)。組件漏洞：功能通常依賴于第三方庫(kù)和組件的供應(yīng)鏈。如果其中一個(gè)組件中存在已知（或未知）漏洞，則可能會(huì)利用無(wú)服務(wù)器功能。管理無(wú)服務(wù)器安全性就是要有適當(dāng)?shù)目刂坪筒呗浴ｋm然云計(jì)算服務(wù)器安全策略可能對(duì)云中的虛擬計(jì)算服務(wù)器實(shí)例有效，但無(wú)服務(wù)器計(jì)算需要額外的控制級(jí)別、粒度、可見(jiàn)性。

無(wú)服務(wù)器計(jì)算的最大風(fēng)險(xiǎn)是具有比所需更多權(quán)限的功能。通過(guò)無(wú)服務(wù)器，可以通過(guò)為所有已部署的功能實(shí)施最小權(quán)限模型顯著地減少攻擊面。在功能的開(kāi)發(fā)階段，可以在暫存環(huán)境中設(shè)置自動(dòng)檢查，從而減少權(quán)限數(shù)量。通過(guò)分析功能行為，還可以查看正在運(yùn)行的功能實(shí)際使用的特權(quán)。通過(guò)該可見(jiàn)性，管理員可以具有訪問(wèn)權(quán)限以僅啟用所需權(quán)限。

調(diào)用服務(wù)的所有功能，無(wú)論是否在同一云計(jì)算提供商內(nèi)部，都必須要求訪問(wèn)控制和身份驗(yàn)證才能幫助限制風(fēng)險(xiǎn)。云計(jì)算提供商提供有關(guān)如何實(shí)施無(wú)服務(wù)器身份驗(yàn)證的最佳實(shí)踐的指導(dǎo)，管理員應(yīng)遵循這些實(shí)踐。云計(jì)算提供商還具有多種內(nèi)置服務(wù)，可幫助用戶識(shí)別潛在的錯(cuò)誤配置。例如，AWS Trusted Advisor是運(yùn)行AWS Lambda的選項(xiàng)。

由于無(wú)服務(wù)器功能是事件驅(qū)動(dòng)和無(wú)狀態(tài)的，因此查看實(shí)時(shí)活動(dòng)通常會(huì)錯(cuò)過(guò)大多數(shù)活動(dòng)。通過(guò)對(duì)無(wú)服務(wù)器使用云計(jì)算提供程序（或第三方）日志記錄和監(jiān)視，可以在需要威脅搜索時(shí)使用審計(jì)跟蹤。功能可以有多個(gè)層，可以調(diào)用不同的代碼和第三方數(shù)據(jù)庫(kù)。通過(guò)監(jiān)控功能層，管理員可以識(shí)別注入和惡意活動(dòng)的嘗試。

雖然無(wú)服務(wù)器平臺(tái)提供商通常集成了一些安全控制，但它們的范圍往往有限，只關(guān)注運(yùn)行這些功能的平臺(tái)。有多種第三方工具和技術(shù)可為無(wú)服務(wù)器計(jì)算提供額外的可見(jiàn)性和控制層。無(wú)服務(wù)器計(jì)算安全工具的市場(chǎng)是一個(gè)相對(duì)較新的市場(chǎng)，但該領(lǐng)域已經(jīng)有多家供應(yīng)商。與容器安全供應(yīng)商存在一些重疊（可以參閱eSecurity Planet的頂級(jí)容器安全供應(yīng)商列表），因?yàn)闊o(wú)服務(wù)器技術(shù)通常涉及使用短期無(wú)狀態(tài)容器。

Aqua Security提供完整的容器和無(wú)服務(wù)器安全平臺(tái)，可幫助組織評(píng)估和減輕無(wú)服務(wù)器風(fēng)險(xiǎn)。Nuweba是無(wú)服務(wù)器行業(yè)領(lǐng)域的新秀，于2019年2月脫穎而出，擁有自己的安全功能即服務(wù)平臺(tái)，可與主要公共云提供商的無(wú)服務(wù)器服務(wù)集成。PureSec無(wú)服務(wù)器安全平臺(tái)專為無(wú)服務(wù)器安全性的挑戰(zhàn)而構(gòu)建，可以集成到組織現(xiàn)有的持續(xù)集成／持續(xù)開(kāi)發(fā)（CI／CD）工作流程中。

Protego Labs還專注于無(wú)服務(wù)器安全性，旨在提供從開(kāi)發(fā)到部署的全生命周期安全性。Snyk平臺(tái)使組織能夠持續(xù)掃描功能，以幫助識(shí)別任何潛在風(fēng)險(xiǎn)。Twistlock的平臺(tái)在整個(gè)開(kāi)發(fā)和部署生命周期中為容器和無(wú)服務(wù)器功能提供安全性。