無服務器計算:功能與基礎設施即服務
作者:星期一, 二月 25, 20190

安全性是云供應商和客戶之間共同承擔的責任。因為云供應商在進行操作和管控時,按需靈活組合使用物理和虛擬化IT及IDC資源,這種共享模型有助于減輕客戶的運營負擔。

目前,當客戶在基礎設施即服務(IaaS)平臺上部署應用程序時,客戶承擔著管理操作系統的責任,包括更新安全補丁、關聯應用程序和配置網絡防火墻。針對云環境中的虛擬項目實例來講,客戶需要仔細考慮如何選擇云服務,這具體取決于所使用的服務與IT環境的集成和法律法規的適用情況等等。

隨著無服務器計算(FaaS或功能即服務)的引入,安全責任更加向云供應商轉移,企業可轉移更多事項以專注于核心業務。但是,通過將安全責任轉移到云,公司從中真正獲得了多少收益?

核心要求:從物理安全到應用安全

以下項自下而上列出,從物理層延伸至應用層。

  • 物理基礎設施,物理邊界和硬件的訪問限制
  • 安全配置基礎設施和系統
  • 定期測試所有系統和進程(操作系統、服務)的安全性
  • 識別和認證對系統的訪問(操作系統、服務)
  • 修復操作系統中的缺陷
  • 加強操作系統和服務
  • 保護所有系統免受惡意軟件和后門的侵害
  • 修復運行時環境和相關軟件包中的漏洞
  • 預防并實施存儲保護
  • 細分網絡
  • 監控所有網絡資源和訪問
  • 安裝和維護網絡防火墻
  • 網絡層DoS保護
  • 用戶身份驗證
  • 訪問應用程序和數據時的權限控制
  • 記錄并維護對應用程序和所有訪問數據的審計及跟蹤
  • 部署應用層防火墻以進行事件數據審查
  • 檢測并修復第三方附屬項中的漏洞
  • 使用權限最低的IAM(身份識別與訪問管理)角色和權限
  • 實施合法的應用程序運營
  • 數據防泄密
  • 在開發過程中靜態掃描代碼和配置
  • 維護無服務器或云資產庫存
  • 刪除超時或未使用的云服務和功能
  • 持續監控錯誤和安全事件

IaaS:供應商與客戶

在IaaS上開發應用程序時,安全責任大致分為以下幾種:

1. 云供應商責任:

  • IT基礎設施、物理邊界和硬件的訪問限制
  • 安全配置基礎設施和系統

2. 客戶責任:

  • 定期測試所有系統和進程(操作系統,服務)的安全性
  • 識別和認證對系統的訪問(操作系統,服務)
  • 修補操作系統中的缺陷
  • 加強操作系統和服務
  • 保護所有系統免受惡意軟件和后門的侵害
  • 修復運行時環境和相關軟件包中的缺陷
  • 預防并進行存儲保護
  • 細分網絡
  • 跟蹤和監控所有網絡資源和訪問
  • 安裝和維護網絡防火墻
  • 網絡層DoS保護
  • 用戶身份驗證
  • 訪問應用程序和數據時的權限控制
  • 記錄和維護對應用程序和所有訪問數據的審計及跟蹤
  • 部署應用層防火墻以進行事件數據審查

無服務器(FaaS):供應商與客戶

在無服務器架構上開發應用程序時應如何分擔責任:

1. 云供應商責任:

  • 物理基礎設施,物理邊界和硬件的訪問限制
  • 安全配置基礎設施和系統
  • 定期測試所有系統和進程(操作系統,服務)的安全性
  • 識別和認證對系統的訪問(操作系統,服務)
  • 修復操作系統中的缺陷
  • 加強操作系統和服務
  • 保護所有系統免受惡意軟件和后門的侵害
  • 修復運行時環境和相關軟件包中的缺陷
  • 預防并進行存儲保護
  • 細分網絡
  • 跟蹤和監控所有網絡資源和訪問
  • 安裝和維護網絡防火墻
  • 網絡層DoS保護

2. 客戶責任:

  • 用戶身份驗證
  • 訪問應用程序和數據時的授權控制
  • 記錄和維護對應用程序和所有訪問數據的審計及跟蹤
  • 部署應用程序層防火墻以進行事件數據檢查
  • 檢測并修復第三方附屬項中的漏洞
  • 使用權限最低的IAM(身份識別與訪問管理)角色和權限
  • 實施合法的應用程序行為
  • 數據防泄密
  • 在開發過程中靜態掃描代碼和配置
  • 維護無服務器或云資產庫存
  • 刪除超時或未使用的云服務和功能
  • 持續監控錯誤和和安全事件

相關閱讀

無服務器體系架構:應用安全范式轉換

網絡攻擊方法論正在被容器與無服務器計算改變

推動無服務器安全:AWS開源輕量級虛擬化技術

 

分享:
0

相關文章

寫一條評論

 

 

0條評論