就在不久之前,當向基礎設施即服務(wù)(簡(jiǎn)稱(chēng)IaaS)平臺部署應用程序時(shí),客戶(hù)還仍然需要承擔操作系統的管理與運營(yíng)責任,包括更新與安全補丁安裝、應用程序軟件關(guān)聯(lián)以及云端網(wǎng)絡(luò )防火墻配置等等。在虛擬實(shí)例方面,客戶(hù)有責任認真考量他們所選擇的服務(wù)選項,確保所使用的服務(wù)與其實(shí)際需求相匹配,將這些服務(wù)與IT環(huán)境整合起來(lái)并遵循適用的法律法規要求。
但隨著(zhù)無(wú)服務(wù)器計算(亦被稱(chēng)為函數即服務(wù),簡(jiǎn)稱(chēng)FaaS)的出現,安全性的天秤進(jìn)一步朝著(zhù)云服務(wù)供應商傾斜,這意味著(zhù)組織能夠更多將這部分任務(wù)移交給供應商并進(jìn)一步專(zhuān)注于自己的核心業(yè)務(wù)。然而,通過(guò)將安全責任轉移到云端,企業(yè)到底能夠獲得多少收益?在今天的文章中,我們將用簡(jiǎn)單的比對聊聊這個(gè)問(wèn)題。
核心要求:從物理層面到應用層的安全性保障
- 以下條目遵循自下而上的順序,我們將從物理安全性開(kāi)始,一路上升至應用層。
- 物理基礎設施,物理邊界與硬件的訪(fǎng)問(wèn)限制。
- 基礎設施設備與系統的安全配置。
- 定期對全部系統/進(jìn)程(操作系統、服務(wù)等)的安全性進(jìn)行測試。
- 發(fā)現并認證對系統(操作系統、服務(wù)等)的訪(fǎng)問(wèn)活動(dòng)。
- 對操作系統內的安全缺陷進(jìn)行補丁安裝與修復。
- 強化操作系統與服務(wù)。
- 保護全部系統免受惡意軟件與后門(mén)的影響。
- 對運行時(shí)環(huán)境以及相關(guān)軟件工具包內的安全缺陷進(jìn)行補丁安裝與修復。
- 預防漏洞利用,保護內存。
- 網(wǎng)絡(luò )分區。
- 追蹤并監控全部網(wǎng)絡(luò )資源與訪(fǎng)問(wèn)活動(dòng)。
- 網(wǎng)絡(luò )防火墻的安裝與維護。
- 網(wǎng)絡(luò )層DoS保護。
- 用戶(hù)身份驗證。
- 在訪(fǎng)問(wèn)應用程序與數據時(shí)進(jìn)行授權控制。
- 面向一切應用程序與數據訪(fǎng)問(wèn)活動(dòng),對審計追蹤進(jìn)行記錄與維護。
- 部署應用層防火墻以進(jìn)行事件-數據檢查。
- 檢測并修復第三方依賴(lài)關(guān)系當中的安全漏洞。
- 使用最低權限IAM角色與權限設置。
- 強制實(shí)施合法的應用程序行為。
- 數據泄露防護。
- 在開(kāi)發(fā)過(guò)程中以靜態(tài)方式掃描代碼與配置。
- 維護無(wú)服務(wù)器/云資產(chǎn)清單。
- 移除陳舊/未使用的云服務(wù)與函數。
- 持續監控錯誤與安全事故。
IaaS:服務(wù)供應商與客戶(hù)
IaaS:安全責任;
云服務(wù)供應商責任;
客戶(hù)責任;
在IaaS上開(kāi)發(fā)應用程序時(shí),安全責任大致包含以下幾種:
云服務(wù)供應商責任
- 物理基礎設施,物理邊界與硬件的訪(fǎng)問(wèn)限制。
- 保護基礎設施設備與系統的配置。
客戶(hù)責任
- 定期對全部系統/進(jìn)程(操作系統、服務(wù)等)的安全性進(jìn)行測試。
- 發(fā)現并認證對系統(操作系統、服務(wù)等)的訪(fǎng)問(wèn)活動(dòng)。
- 對操作系統內的安全缺陷進(jìn)行補丁安裝與修復。
- 強化操作系統與服務(wù)。
- 保護全部系統免受惡意軟件與后門(mén)的影響。
- 對運行時(shí)環(huán)境以及相關(guān)軟件工具包內的安全缺陷進(jìn)行補丁安裝與修復。
- 預防漏洞利用,保護內存。
- 網(wǎng)絡(luò )分區。
- 追蹤并監控全部網(wǎng)絡(luò )資源與訪(fǎng)問(wèn)活動(dòng)。
- 網(wǎng)絡(luò )防火墻的安裝與維護。
- 網(wǎng)絡(luò )層DoS保護。
- 用戶(hù)身份驗證。
- 在訪(fǎng)問(wèn)應用程序與數據時(shí)進(jìn)行授權控制。
- 面向一切應用程序與數據訪(fǎng)問(wèn)活動(dòng),對審計追蹤進(jìn)行記錄與維護。
- 部署應用層防火墻以進(jìn)行事件-數據檢查。
無(wú)服務(wù)器(FaaS):云服務(wù)供應商與客戶(hù)
無(wú)服務(wù)器:安全責任;
無(wú)服務(wù)器云服務(wù)供應商責任;
無(wú)服務(wù)器客戶(hù)責任;
在立足無(wú)服務(wù)器架構進(jìn)行應用程序開(kāi)發(fā)時(shí),如何進(jìn)行責任劃分:
云服務(wù)供應商責任
- 物理基礎設施,物理邊界與硬件的訪(fǎng)問(wèn)限制。
- 基礎設施設備與系統的安全配置。
- 定期對全部系統/進(jìn)程(操作系統、服務(wù)等)的安全性進(jìn)行測試。
- 發(fā)現并認證對系統(操作系統、服務(wù)等)的訪(fǎng)問(wèn)活動(dòng)。
- 對操作系統內的安全缺陷進(jìn)行補丁安裝與修復。
- 強化操作系統與服務(wù)。
- 保護全部系統免受惡意軟件與后門(mén)的影響。
- 對運行時(shí)環(huán)境以及相關(guān)軟件工具包內的安全缺陷進(jìn)行補丁安裝與修復。
- 預防漏洞利用,保護內存。
- 網(wǎng)絡(luò )分區。
- 追蹤并監控全部網(wǎng)絡(luò )資源與訪(fǎng)問(wèn)活動(dòng)。
- 網(wǎng)絡(luò )防火墻的安裝與維護。
- 網(wǎng)絡(luò )層DoS保護。
客戶(hù)責任
- 用戶(hù)身份驗證。
- 在訪(fǎng)問(wèn)應用程序與數據時(shí)進(jìn)行授權控制。
- 面向一切應用程序與數據訪(fǎng)問(wèn)活動(dòng),對審計追蹤進(jìn)行記錄與維護。
- 部署應用層防火墻以進(jìn)行事件-數據檢查。
- 檢測并修復第三方依賴(lài)關(guān)系當中的安全漏洞。
- 使用最低權限IAM角色與權限設置。
- 強制實(shí)施合法的應用程序行為。
- 數據泄露防護。
- 在開(kāi)發(fā)過(guò)程中以靜態(tài)方式掃描代碼與配置。
- 維護無(wú)服務(wù)器/云資產(chǎn)清單。
- 移除陳舊/未使用的云服務(wù)與函數。
- 持續監控錯誤與安全事故。
FaaS還是SaaS?
很明顯,各項任務(wù)與要求并非一一對等,以上提到的一部分任務(wù)與要求,顯然要比其它任務(wù)與要求占用更多資源與預算。但這僅僅是一份對比參考,如果您不同意這個(gè)方法或者結論,也請在評論中分享您的真知灼見(jiàn)。
