Azure Functions は、Microsoft Azure でホストされる自動開発者ツールです。 これは完全に管理されたオンデマンドサービスであり、サービスを使用するために追加のスキルやトレーニングを必要とせず、関数をデプロイしてジョブを実行するだけです。 関数は、インシデントに自動的に応答するサーバーレス タスクを使用します。データ ストリームの変更やメッセージ キューからのデータなどのトリガーは、Azure からのインテリジェントな応答を生成できます。
Azure パブリック リソースが十分に保護されていることを確認することが重要です (特に Function Apps を実行する場合)。 また、関数アプリの性質上、特に関数アプリがローカル リソースとの間でデータをプッシュまたはプルする場合は、堅牢なセキュリティが非常に重要です。
この記事では、Azure 関数とは何か、どのように機能するか、および関数アプリがリスクを軽減し、ビジネスのクラウドセキュリティ体制を改善するためにクラウドネイティブ セキュリティを適用することが重要である理由について説明します。
Azure Functions は、コードを記述してネイティブに実行するためのクラウド プラットフォームを開発者に提供します。 コードは、Azure Serverless Functions コンピューティング オファリングを使用してほぼ瞬時に処理されます。 Azure Functions を使用したインフラストラクチャのホスティングについて心配する必要はなく、コードをテストするために独自のサーバーを用意する必要もありません。 何よりも、コードが実行されているときにのみ課金されます。
Azure Functions は、Azure Portal で直接作成することも、Visual Studio、IntelliJ、PyCharm などのお気に入りの開発ツールに統合することもできます。 Azure 関数は有効期間が短く、通常は数秒から数分しか実行されません。 ユーザーは、関数アプリを作成し、環境を構成して、ジョブを実行するだけです。 Azure クラウド プラットフォームでは、他のすべてが処理され、課金を上乗せするようにクォータを設定できます。
Azure サーバーレス関数は、ブラウザーベースのインターフェイスをユーザーに提供し、C#、Java、Python、PHP、Bash、PowerShell など、最も一般的なプログラミング言語をサポートします。
Azure Functions は、Twillo、Facebook、Twitter などのクラウドネイティブの 3rd Party アプリや、Azure コンピューティング、データベース、ストレージ サービスなどのコア Azure サービスと直接統合されます。 これにより、ユーザーはタスクを自動化し、関数出力から直接複数のジョブをトリガーできます。
Azure Functions はサーバーレス コンピューティング環境で実行され、内部的には Microsoft が関数アプリを実行するための広範で可用性の高いクラウド インフラストラクチャを提供しています。 サーバーレス環境は、複数のグローバルリージョンの広大なグローバルプラットフォームにまたがっています。 セキュリティは、無人のサーバーレスワークロードでは非常に重要であり、 実行しているコードは、サーバーレス ワークロードに対してセキュリティで保護する必要があります.クラウド資産を保護するのはお客様の責任であることを常に念頭に置いてください。
Azure Functions は、トリガーによって自動的に呼び出されるイベント ドリブン アクションに関するものです。 トリガーは、さまざまなソース トリガーによって開始できるため、Azure Functions にとって非常に重要です。 トリガーは、データ ソース、ログ、イベントなど、さまざまなソースから発生するため、環境を承認されたソースのみに分離するためのセキュリティを確保することが重要です。
たとえば、HTTPリクエスト(HTTPTrigger)は、ERPエンドポイントや特定のWebページのURLなどの許可されたソースからの場合にのみ認証する必要があります。 トリガーは、cron ジョブの一部としてパーソナライズされたスケジュールでスケジュールすることも、TimeTrigger を使用して事前定義された時間にスケジュールすることもできます。
イベントは一般的なトリガーであり、Azure Storage キュー、Azure Event Grid、EventHubs などのさまざまなソースから呼び出すことができます。 トリガーは、メッセージ待ち行列からも機能します。これは、オンラインWebサイトの注文からマーケティングメールへのインテリジェントな応答まで、何でもかまいません。
関数は通常、非常に単純で反復可能なプロセスに従います。 コードが実行されると、Azure Functions によって、ワークフロー内の次のタスクを実行する出力バインドが作成され、そのタスクが別のタスクを実行する可能性があります。 使用される出力バインドは、使用されている Azure 関数の種類によって異なりますが、最も一般的な出力は Webhook、アラート、ログ記録です。
Azure Functions のサーバーレスな性質により、 いくつかの主な機能 基本的な Azure サービスとシームレスに統合されるものには、次のようなものがあります。
Azure Functions は、中小企業や大企業で広く採用されていますが、その理由は次のとおりです。
テスティング: トリガーは、ビルドの各ステージに対してテストを実行し、関連する Azure インフラストラクチャを構築し、Functions アプリをデプロイするように構成できます。
Azure Functions のセキュリティ保護は、関数アプリが正しく構成されていないと大きな損害を与える可能性があるため、非常に重要です。 また、Azure アカウント全体にデプロイされる関数アプリの数が大幅に増加し、管理が困難になる可能性もあります。 チェック・ポイントはMicrosoftと提携し、 Check Point CloudGuard Network セキュリティ Azure Functions を動的にセキュリティで保護、監視、操作できるスイート。
ザ チェック・ポイント CloudGuard Workload protection plugin は、Azure 関数アプリと直接対話します。 プラグインにはいくつかの素晴らしい機能があり、あなたがしなければならないのは エネーブル 関数アプリをデプロイするときのプラグイン。 デプロイ プロセス中に、 CloudGuard Workload は プロアクト ハードコードされた資格情報、関数の書式設定、空白などのセキュリティリスクをチェックする初期リスク評価を実行するプロセス。
次に、ランタイム保護モジュールが関数にロードされます – Function-Self-Protection (FSP) ツールは、チェック・ポイント CloudGuard 抽象化レイヤーを作成することで関数と対話する方法です。 FSP を使用すると、悪意のあるペイロードをスキャンし、異常な動作を検出し、関数の動作で予想される逸脱をホワイトリストに登録する許可リストを作成するワークロード ファイアウォールを使用して入力を保護できます。
Functions に関するすべての情報は、Azure Function アプリについて知っておく必要のあるすべての全体像を 1 つのウィンドウで確認できる 1 つのウィンドウである CloudGuard コンソールで利用できます。 図は、関数がどのサービスに触れるかを示しており、ランタイム保護はすべてのワークロードをスキャンし、過度に寛容なルール、セキュリティの脆弱性、予期しない動作などの潜在的なリスクに対して警告します。 コンソールには、コードを使用して問題を修正する方法を説明するメディエーションの推奨ページも表示されます。
Amazon Web Servicesをご利用の方なら、クラウドワークロード保護プラットフォーム(CWPP) AWS Lambdaでも動作します (Amazon の Azure Functions に相当)。 提供される保護は同じであり、データセンター、AWS、Azure Stack、ハイブリッドクラウド、および安全な仮想ネットワークで運用されている Functions の可視性とセキュリティ制御が向上します。
AWS LambdaとAzure Functionsの人気が高まっているため、Function Appsのセキュリティにリスクを負わせたくありません。 AWSとAzureのコンソールに組み込まれているセキュリティコントロールとチェック・ポイント CloudGuard を組み合わせて、最高のセキュリティ抽象化レイヤーを実現します。 コードを保護し、すべてのサーバーレスアクティビティをインテリジェントに監視します。
Azure 関数または AWS Lambda のセキュリティ保護について詳しく知りたいですか? デモのスケジュール CloudGuardのきめ細かなセキュリティ機能の動作を確認し、クラウドにデプロイした瞬間からワークロードを保護します。