0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

什么是无服务器?无服务器架构的安全需要注意什么

倩倩 作者:虫虫安全 2019-09-28 02:56 次阅读

随着云生态系统的发展和扩展,可以满足用户对系统的灵活性和动态按需可塑性方面的需求,用户可以根据业务情况在高峰期短时间内部署大量服务器上线,然后再过了高峰后又撤下来,整个过程自动调控,自动收缩。一个典型例子是新浪微博服务,在突然出现爆发事件时候(比如明星出轨新闻),其流量可能是平时几百甚至上千倍,对这样的爆发流量用传统的扩容方式根本满足不了需求,也没有那么多资源,新浪的解决方法是私有云+租赁公有云方式,花钱利用阿里云实现峰值时服务扩容。对于一般企业则可以完全利用租赁第三方云服务方式构建自己服务模式,自己无需维护任何硬件设备和基础后端软件服务,这样的架构叫Serverless ,即“无服务器”架构。

无服务器架构可以让企业实现更灵活和更具成本效益的业务架构模式。但是,随着企业开始使用无服务器架构时候,需要考虑无服务器架构的安全,本文就给大家聊聊这个话题

什么是无服务器?

无服务器是虚拟化和云计算发展的结果,是指其企业完全通过租赁云供应商的资源来实现业务的模式,无服务器的核心是在架构中完全摒除硬件和后端基础软件服务(比如数据库,账号体系等),而依赖第三方的云资源(BaaS或者FaaS)。

当考虑无服务器架构时候主要基于一个想法:如果并不是所有应用程序的功能都是一直要用,那么为什么要为不经常使用的服务器支付租金呢?一般来说系统都需要一些功能,如业务逻辑,用户认证系统,数据库,以及其他一些用户简短的和特定活动需要的功能。使用服务器架构,会执行和打包这一系列的功能,所以一般也将无服务器称为功能即服务(FaaS);这些服务也为后端服务,所以也叫为BaaS “Backend as a Service”。

FaaS服务最典型的例子是知名厂商亚马逊AWS的AWS Lambda。

国内的阿里云最近也搞了一个叫函数计算类似的东西:

无服务器安全

虽然云厂商会提供了很多安全服务和一些基本的安全策略,但是需要你花费购买相关服务,而且一些策略也需要自己配置。关于无服务器架构的安全我们需要注意以下事项。

保持最新版

为了确保应用程序的安全,最有效方法之一是确保所有组件都是新的。使用的第三方模块是否需要打安全补丁?

软件更新时候经常被忽略的问题是忘记更新组件依赖项,尤其是在应用程序中使用开源组件时。据统计有超过92%的应用程序使用的开源组件会占到其代码库的60-80%,基础开源组件的安全是不容忽视的部分。如何安全地使用开源模块与商业软件存在一些明显差异,例如在开源组件在发布新漏洞或修复程序时无法很好的跟踪其影响面,做到有效的升级通知。另一个方面是要考虑构建组件的依赖关系。如果其中一个依赖存在漏洞,则会影响整个应用程序的安全。现在的基本的Git服务器端,比如Github和Gitlab都提供了对依赖的基本类库安全自动化扫描工具。我们可以借助这些工具来确保我们的组件都更新到安全的版本。

最小权限原则

进行权限和访问控制是维护无服务器安全性的重要规则,通过安全策略设置为每个功能授予最小权限,并使用基于角色的身份验证(IAM角色),以很大限度地减少潜在安全风险。

这个原则很重要,因为可访问的用户越多,对系统安全的潜在的风险就越大。比如一个例子,黑客成功窃取了你的一个用户的电子邮件帐户,窃取了其登陆凭据。为了最大限度地降低风险,我们应该分角色限制可访问的功能,并对访问IP进行限制,比如通过防火墙和VPN等设置限制登录,这样就算登录凭据被窃取了也无法登陆。当然除了外部黑客的攻击以外我们也要防止内部人员窃取其不应该知道的信息,所以基于角色限制每个用户的权限至关重要。

保持Em分离

与限制用户权限原理类似,将每个功能的网络和资源访问隔离也很重要。这条原则也被称为微分段(Micro-Segmentation),就是通过设置访问屏障的,保证我们的某功能被攻克后,不影响其他功能和节点。安全界常遵守一个常理就是“鸡蛋不能放在同一个篮子里”。

如果正如我们将数据库与另一个数据库分开一样,通过隔离不同的功能,不同的人容器,可以保证整体的安全不受部分节点的影响。

紧盯日志

一旦开始使用无服务器基础架构,就会发现架构都会变点很乱不着头脑,快速迭代的功能和业务,可能会让我们忽略一些安全问题迹象。比如发送到无服务器架构的大量请求,可能意味着功能存在漏洞功能,而你却将其忽略,没注意到。

这时候就需要注重安全和日志了。

熟悉无服务器架构(其他一些架构也类似)很好的工具是浏览和系统日志。解决无服务器安全挑战的第一步就是维护和分析日志,识别执行日志中的异常情况。

安全扫描

其次,我们应该使用全自动工具扫描功能,包括检查和监控系统所有使用的开源组件。比如你使用AWS Lambda你可以使用WhiteSource的无服务器集成来扫描和监控已部署,WhiteSource会自动识别所有开源组件和依赖项,然后针对其开源存储库的综合数据库检查它们,以获取安全漏洞和许可证。检测到后,您可以应用自动策略,定义工作流程以及在团队中协作信息。

合规事宜

当涉及金融,电信,健康等受监管行业时,数据隐私问题变得更加敏感。由于我们运行应用程序并在云上存储数据,因此总是存在与这些资产面向公众相关的风险。对云上数据做合格性可以需要通过法律及专业人士进行协助进行。

总结

总之,使用无服务器架构具有很多优势,可以帮助我们节省成本,提高灵活性和可塑性。但是无服务器架构安全的问题也不容忽视。本文我们列举了一些常用的安全原则和技巧也帮大家避免常见的无服务器安全隐患,并确保应用程序的安全可靠。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 云计算
    +关注

    关注

    39

    文章

    7726

    浏览量

    137180
  • 无服务器
    +关注

    关注

    0

    文章

    16

    浏览量

    4061
收藏 人收藏

    评论

    相关推荐

    云计算的思维转换 服务器的优势

    PaaS云是服务器系统的灵感,但是服务器并不意味着没有服务器。目前
    发表于 02-28 14:59 933次阅读

    服务器架构面临的10大安全威胁

    服务器架构(也称为功能即服务FaaS)在企业中用于构建和部署软件和服务,不需要内部物理或虚拟
    发表于 08-23 14:35 758次阅读

    关于服务器安全,如何保护服务器计算

    服务器计算是云计算发展的最新趋势之一,也是最复杂的趋势之一。与任何一个新技术一样,服务器计算也带来了新的技术风险。
    发表于 03-16 11:42 498次阅读

    盘点服务器架构所面临的10大安全挑战

    服务器架构(也称为功能即服务FaaS)在企业中用于构建和部署软件和服务,不需要内部物理或虚拟
    发表于 03-17 11:39 513次阅读

    服务器架构的下一步是什么

    将逻辑和数据自动分发到边缘将为用户带来更小的网络延迟,而无需开发人员进行配置和扩展。服务器服务无处不在。服务器产品向新的编程方式发展的驱
    发表于 04-10 08:00 0次下载
    <b class='flag-5'>无</b><b class='flag-5'>服务器</b><b class='flag-5'>架构</b>的下一步是什么

    剖析服务器 (Serverless) 架构基础安全指南

    服务器(Serverless)架构使组织无需内部服务器即可大规模构建和部署软件。像函数即服务(FaaS)模型这样的微
    的头像 发表于 03-24 11:41 1881次阅读

    确保服务器架构网络安全的必要性和方法

    服务器架构使组织无需运行内部服务器即可大规模构建和部署软件。微服务等功能即服务(FaaS)模型
    的头像 发表于 04-05 17:16 1587次阅读

    AWS服务器平台

      AWS 服务器计算服务支持在 AWS 云上构建和部署应用程序,而无需管理服务器。AWS 服务器
    的头像 发表于 10-20 17:54 1237次阅读

    在AWS上实施服务器服务架构

    我们之前关于 AWS 服务器平台的文章讨论了无服务器多层架构的基本原理和优势。在本文中,我们将解释企业如何使用AWS 云实施
    的头像 发表于 11-30 15:38 975次阅读
    在AWS上实施<b class='flag-5'>无</b><b class='flag-5'>服务器</b>微<b class='flag-5'>服务</b><b class='flag-5'>架构</b>

    AWS服务器平台

      AWS 服务器计算服务支持在 AWS 云上构建和部署应用程序,而无需管理服务器。AWS 服务器
    的头像 发表于 11-30 16:30 771次阅读

    AWS上的服务器多层架构

      我们之前关于 AWS 服务器平台的文章讨论了该平台的基本原理和挑战以及简单的应用程序使用案例。在本文中,我们将介绍企业如何使用 AWS 云实施具有多层架构
    的头像 发表于 12-08 15:42 734次阅读

    AWS服务器平台

      AWS 服务器计算服务允许在 AWS 云上构建和部署应用程序,而无需管理服务器。AWS 服务器
    的头像 发表于 12-08 15:48 651次阅读

    初探Azure服务器架构

    Azure Functions 是一种按需提供的云服务,可提供运行应用程序所需的所有基础设施和资源,为 Azure 提供服务器计算,用户无需管理服务器或计算资源,节省成本。
    的头像 发表于 12-29 17:21 663次阅读

    更换香港服务器ip地址需要注意哪些问题?

    流程和可行性可能因供应商而异。在更换ip地址之前,用户应与服务器提供商沟通,了解相关政策和流程。那么更换香港服务器ip地址需要注意哪些问题? 更换香港服务器ip地址时,
    的头像 发表于 08-28 17:32 2353次阅读

    RAKsmart服务器升级需要注意哪些细节

    RAKsmart是一家知名的IDC(互联网数据中心)服务提供商,为广大用户提供包括服务器托管、租用在内的多种服务。当您的业务需求发生变化或者技术进步导致现有配置不再满足要求时,对服务器
    的头像 发表于 09-25 09:56 152次阅读