無服務器技術將面臨著什么樣的安全風險
(文章來源:至頂網)
最近幾年,無服務器計算技術實現了顯著的增長,同時也伴隨著新解決方案生態(tài)系統(tǒng)的蓬勃發(fā)展。這些新的解決方案提供了可觀察性、實時追蹤、部署框架、以及應用安全性。
隨著無服務器安全風險逐漸引發(fā)人們的關注,那些嘲笑者和憤世嫉俗者們所謂“FUD”——恐懼、不確定、懷疑——的習慣又一次發(fā)作,他們指出,盡管無服務器技術在軟件快速部署和大幅降低TCO方面有著巨大的價值,但同時也帶來了新的安全挑戰(zhàn)。
衡量一項成熟技術的關鍵指標之一,是該技術的生態(tài)系統(tǒng)。是否擁有蓬勃發(fā)展的社區(qū)、廣泛的文檔、最佳實踐指南和工具,決定了企業(yè)組織是否會信任并采用新的技術。
最近,云安全聯盟(Cloud Security Alliance,CSA)聯合PureSec公司合作撰寫了一份無服務器安全指南,這份指南從去年的版本中汲取了大部分的內容,同時增加了兩個重要的風險等級。這份題為《無服務器應用12個最嚴重的風險》的指南,是針對那些處理無服務器應用的安全和開發(fā)受眾編寫的,但內容并不僅限于指出這些風險的存在,還為所有主流平臺提供了最佳實踐。
無服務器技術可以采用不同事件源輸入的數據,而且每個事件源都有自己特有的消息格式和編碼機制。這些事件消息中,可能包含了受攻擊者控制的、或者不受信任的數據輸入,這些是需要經過嚴格審查的。
由于無服務器改善了面向微服務的系統(tǒng)設計,因此應用可能包含數十個甚至數百個功能。如果不謹慎執(zhí)行的話,身份驗證過程中就很容易出現錯誤。云提供商提供了很多設置選項,可以根據特定需求調整服務。開箱即用的設置不一定是最安全的選擇。隨著越來越多的企業(yè)組織遷移到云端,云配置出現漏洞也越來越普遍。
管理功能權限和角色,是企業(yè)組織在把應用部署到云端時,面臨的最艱巨的安全挑戰(zhàn)之一。有時候開發(fā)人員想走捷徑,采用“通吃”的權限模型,這是很常見的。
雖然大多數云廠商都提供了非常強大的日志記錄功能,但這些日志并不一定適合于在應用層提供完整的安全事件審計跟蹤功能。雖然第三方庫的不安全性,并不是只有無服務器技術才有的缺點,但由于缺乏應用網絡和行為安全控制能力,無服務器環(huán)境中檢測出的惡意軟件包要更加復雜一些。
應用秘密存儲最常出現的問題之一,就是把這些秘密信息簡單地保存成某個軟件項目中的一個純文本文件,或者是把這些秘密信息保存成一個作為環(huán)境變量的純文本文件。無服務器架構具有自動可擴展和高可用性等特點,但是,與任何其他類型的應用一樣,無服務器需要采用最佳實踐和良好的設計以避免出現瓶頸,是至關重要的。