借助Microsoft Azure 提供的無服務(wù)器平臺(tái)Azure功能,開發(fā)人員可以簡(jiǎn)單地部署代碼來運(yùn)行作業(yè),而無需了解底層基礎(chǔ)設(shè)施或操作系統(tǒng)。Azure功能平臺(tái)負(fù)責(zé)管理部署環(huán)境,智能響應(yīng)潛在事件,例如消息隊(duì)列中的數(shù)據(jù)或數(shù)據(jù)流中的更改。
云共享責(zé)任模型
云計(jì)算允許公司將托管和維護(hù)其底層基礎(chǔ)設(shè)施的責(zé)任外包給第三方云服務(wù)提供商。這使公司能夠利用云的各種優(yōu)勢(shì),并將保護(hù)此底層基礎(chǔ)設(shè)施的責(zé)任移交給云提供商。
然而,在云共享責(zé)任模型下,云提供商并不對(duì)客戶的云部署承擔(dān)全部責(zé)任。根據(jù)所使用的云模型(SaaS、IaaS、PaaS 等),客戶可以訪問和控制其云基礎(chǔ)架構(gòu)堆棧的某些級(jí)別。除了配置和維護(hù)這些級(jí)別之外,客戶還負(fù)責(zé)充分保護(hù)它們。
什么是無服務(wù)器安全?
充分利用云計(jì)算的優(yōu)勢(shì)需要部署云原生解決方案。無服務(wù)器應(yīng)用程序(例如Azure功能)在云提供商管理整個(gè)基礎(chǔ)架構(gòu)堆棧而不是客戶的環(huán)境中運(yùn)行,從而為開發(fā)人員創(chuàng)建一個(gè)托管環(huán)境以在其中部署和執(zhí)行代碼。
無服務(wù)器功能和環(huán)境的設(shè)計(jì)會(huì)帶來獨(dú)特的安全風(fēng)險(xiǎn)。例如,無服務(wù)器功能是僅在響應(yīng)特定事件時(shí)才處于活動(dòng)狀態(tài)的應(yīng)用程序,因此很難使用傳統(tǒng)的安全解決方案對(duì)其進(jìn)行有效監(jiān)控。無服務(wù)器安全性提供針對(duì)Azure功能和其他無服務(wù)器應(yīng)用程序的獨(dú)特需求和安全挑戰(zhàn)量身定制的安全性。
Azure功能安全性的重要性
隨著公司更全面地采用 Microsoft Azure,可能已經(jīng)“提升和轉(zhuǎn)移”的遺留應(yīng)用程序可能會(huì)被重新設(shè)計(jì)為云原生無服務(wù)器應(yīng)用程序,而新的開發(fā)將充分利用無服務(wù)器生態(tài)系統(tǒng)。因此,一家公司將擁有越來越多的無服務(wù)器應(yīng)用程序。
這些應(yīng)用程序可能會(huì)訪問敏感信息并實(shí)施組織 IT 解決方案的核心組件。實(shí)施強(qiáng)大的Azure功能安全性對(duì)于防止數(shù)據(jù)泄露、關(guān)鍵服務(wù)中斷以及對(duì)組織運(yùn)營(yíng)的其他潛在威脅至關(guān)重要。
Azure功能安全最佳實(shí)踐
Azure功能等無服務(wù)器應(yīng)用程序面臨許多與非無服務(wù)器應(yīng)用程序相同的安全威脅。但是,無服務(wù)器功能也具有獨(dú)特的安全風(fēng)險(xiǎn)和管理它們的最佳實(shí)踐。
其中一些最佳實(shí)踐包括:
驗(yàn)證不受信任的輸入:注入攻擊是對(duì)應(yīng)用程序安全的最大威脅之一,這些漏洞的存在是因?yàn)閼?yīng)用程序?qū)Σ皇苄湃蔚妮斎胱龀黾僭O(shè)而不強(qiáng)制執(zhí)行。在處理輸入之前驗(yàn)證輸入可以保護(hù)Azure功能和其他應(yīng)用程序免受注入攻擊。
實(shí)施最低權(quán)限:如果Azure功能存在可利用的漏洞,則攻擊者可能會(huì)利用此漏洞訪問敏感數(shù)據(jù)或其他企業(yè) IT 資產(chǎn)。將Azure功能的訪問權(quán)限限制為僅對(duì)其角色所需的訪問權(quán)限有助于最大限度地減少應(yīng)用程序受到攻擊或其他問題的影響。
管理供應(yīng)鏈風(fēng)險(xiǎn):應(yīng)用程序通常依賴于各種第三方庫和其他外部依賴項(xiàng),其中可能包含可被攻擊者利用的漏洞。監(jiān)視安全更新的依賴項(xiàng)并及時(shí)安裝它們對(duì)于維護(hù)依賴它們的應(yīng)用程序的安全性至關(guān)重要。
安全的云存儲(chǔ):Azure功能通常是無狀態(tài)的,依賴云存儲(chǔ)來維護(hù)重要的狀態(tài)數(shù)據(jù);然而,云數(shù)據(jù)安全是組織面臨的共同挑戰(zhàn)。限制對(duì)云數(shù)據(jù)存儲(chǔ)的訪問對(duì)于無服務(wù)器函數(shù)數(shù)據(jù)的機(jī)密性、完整性和可用性至關(guān)重要。
保護(hù)函數(shù)機(jī)密:Azure功能可能需要訪問機(jī)密信息,例如加密密鑰、API 密鑰和其他數(shù)據(jù)。這些數(shù)據(jù)必須安全存儲(chǔ),而不是放置在攻擊者可能訪問的明文配置文件或環(huán)境變量中。
實(shí)施零信任安全:無服務(wù)器應(yīng)用程序旨在相互連接。由于一些可能是面向公眾的,而另一些可能會(huì)訪問關(guān)鍵數(shù)據(jù)和功能,因此薄弱的身份驗(yàn)證和訪問管理實(shí)踐可能會(huì)使關(guān)鍵功能容易受到攻擊。應(yīng)在零信任模型下實(shí)施身份驗(yàn)證和授權(quán),在該模型中,每個(gè)訪問請(qǐng)求都會(huì)根據(jù)最低權(quán)限訪問控制進(jìn)行審查和批準(zhǔn)或拒絕。
網(wǎng)站資訊
解決方案
關(guān)于我們
