雲端原生應用程式具有一種新的、獨特的結構,它會影響攻擊者處理這些應用程式的方式,從而改變威脅格局。 隨著攻擊者改變方法並轉向第六代攻擊,安全從業者和開發人員必須相應地調整他們保護雲端原生應用程式的方式。
他們需要為這些新威脅分配更多的時間和資源,以便最好地為組織預防這些威脅。 資源必須進行策略性分配,但必須先了解在這種新的威脅格局中哪些威脅最有可能出現。
雲端原生應用程式中的運算服務被設計為短暫的,而且壽命往往很短。 這是使雲端原生應用程式本質上更安全的眾多屬性之一。 攻擊者無法輕鬆地在您的系統中長期存在,因此必須改變策略。 由此產生的一種策略是「土撥鼠日攻擊」 ,其中攻擊者會設計一個較短的攻擊,例如僅竊取一些信用卡號碼,然後重複。 攻擊者利用雲端原生應用程式的自動擴展來利用其短暫性。
另一種方法是上游攻擊,或毒井,攻擊者的目的是在您的應用程式中獲得更長期的持久性。 雲端原生應用程式往往包含許多模組和函式庫。 單一無伺服器函數可能包含來自開發人員工作以外的各種來源的數萬行程式碼。 攻擊者致力於在常見項目中包含惡意程式碼。 然後,在井中毒後,雲端應用程式中的惡意程式碼可以打電話回家,獲取指令並造成嚴重破壞。
幸運的是,雲端原生應用程式往往更難受到攻擊。 但作為一種新型架構,它們提出了新的安全挑戰,開發人員必須採取行動降低風險。 以下是保護雲端原生應用程式的一些最佳實踐:
除了確保您的Web 應用程式開發介面和應用程式保護 (WAAP)服務先進以滿足下一代需求之外,另一個雲端原生安全最佳實踐是在功能層級應用外圍安全。 請特別注意由不同來源類型觸發的函數。
當您在功能粒度上執行IAM時,IAM 就成為一個 AppSec 工具。 花時間為你的每個職能設計合適的、最小的角色。 此外,請確保每個函數都以最小的可行權限集執行,以便任何漏洞造成的損害最小。
這個話題已經被討論了好幾年,而且不會很快消失。 這是企業必須解決的一個大問題,而且需要數年時間才能實現這一目標,因為這是理念的代際轉變。”
對於團隊來說,儘早彌合差距非常重要,即使這感覺違背了公司 DNA 的正常行為,因為雲端原生需要組織在如何管理安全和開發方面採用不同的方法。 這為各部門促進這項變革並產生真正的影響創造了真正的機會。
維運人員必須創建管道,使開發人員能夠以無伺服器的速度工作,同時仍以現實且安全的方式部署應用程式。
這些只是有關安全性的眾多問題中的一小部分,在遷移到雲端本機應用程式和微型伺服器時必須考慮這些問題。 每天都有新的工具被設計來幫助優化這一轉變並創造更好的可見性、可觀察性、安全性和威脅防護。 有關如何解決雲端原生安全問題的更多信息,請參閱 Check Point Software 的雲端資安解決方案指南。