為了理解無伺服器的資安,您必須先明確無伺服器運算的含義。
從最基本的意義上講,無伺服器運算是雲端運算模型的術語,其中應用程式被分解為多個元件,當觸發時,呼叫伺服器的使用。 雲端提供者運行伺服器並管理機器資源的精確分配,而不是組織。 這意味著組織僅使用運行該應用程式元件所需的內容,而不是啟動整個應用程式伺服器。 最受歡迎的無伺服器框架包括 Google雲端功能, AWS Lambda 函數,以及 Azure Functions。每個人都建立自己的應用程式。
這種無伺服器架構的最大好處是它是自動化的和可擴展的。 IT 經理不必擔心擴展新伺服器,且開發人員和已部署程式碼之間的摩擦最小,這意味著上市時間的延遲最小。 這使得隔離和測試對於應用程式投入使用非常重要的各個功能變得更加容易。
從雲端提供者的角度來看,向無伺服器運算的轉變代表了伺服器管理責任從消費者到雲端提供者的催化性轉變。 這降低了管理成本,節省了時間,並且(在某些方面)降低了風險。
無伺服器的資安保障要求您以完全不同的方式考慮安全性。 組織不應將其視為圍繞整個應用程式構建安全圍欄,而是需要以外科手術般的精度進行放大,並圍繞應用程式中的每個功能編織安全解決方案。
這需要 micro-segmentation 有限的存取控制,使每個功能與鏈中的周圍功能分離。 這允許各個功能執行其預期的操作,而不會使較大的應用程式面臨不當損害的風險。
由於多種原因,無伺服器的資安保障是非常有益的。 一些關鍵的改進領域(相對於傳統安全性)包括:
在當今的網路環境中,擁抱無伺服器的資安非常重要,可以說是必要的。 不過,也並非沒有擔憂。
儘管無伺服器保障的資金安全是有益的,但威脅和挑戰仍然存在。 他們包括:
每當您決定如何繼續處理您的某個方面時 網路安全,將會有一些權衡。 由您決定最佳且最合乎邏輯的前進道路。 儘管面臨這些挑戰,我們仍然相信無伺服器的資安保障是前進的方向。
為了最大限度地保障您的組織中無伺服器的資安,您需要 主動規劃。以下是一些提示和最佳實踐,可引導您繼續前進。
週邊安全必須 應用於函數級別。由於應用程式中存在碎片和微小組件,攻擊者有很多目標可供選擇。 除了應用程式開發介面閘道器和 WAF 之外,增加新的無伺服器保障器的資安功能。 這將增強您的基礎並為您的前進提供額外的保護。
當您採用無伺服器時,您將顯著增加可以採取行動的資源數量。 仔細考慮這一點並限制/最小化每個單獨功能的權限和角色的數量。 認為精益。 使用您可以合理使用的最小權限集。
由於所有的無限擴展和多樣化的觸發器,微小的程式碼錯誤可能會對您的系統造成嚴重破壞 - 特別是在使用第三方程式庫時。 這些脆弱性可以迅速演變成應用程式內部的拒絕服務攻擊。 這使得錯誤變成了主要的安全責任。 您可以透過密切關注不良程式碼並不斷進行測試來進行反擊。
公開功能的最佳方法之一是透過應用程式開發介面閘道器。 它們本質上充當反向代理——在用戶和功能之間提供明顯的分離。 您可以利用應用程式開發界面閘道器來提供額外的安全防禦,透過功能降低攻擊面。
函數的生命週期可能非常短暫。 隨著規模的擴大,大多數人都會迷失在其中,很難準確地找出錯誤發生的位置。 這使得識別惡意駭客攻擊變得更具挑戰性。
在擴充時,請確保監視已部署的功能,以便對其進行檢查。 如果不出意外的話,這可以讓您更安心。
現在是時候更有意識地對待你的方法了 serverless security。我們生活和工作在一個動態的環境中,有時感覺不可預測。 在 Check Point,我們的目標是簡化複雜性並讓您和您的團隊更容易獲得安全性。 我們透過提供領先業界的產品、解決方案和支援服務來解決當今的具體和相關挑戰來實現這一目標。
請立即聯絡我們 詳細了解我們如何幫助您避免成為每年肆虐數百萬企業的安全威脅的受害者。