就在不久之前,當向基礎設施即服務(簡稱IaaS)平臺部署應用程序時,客戶還仍然需要承擔操作系統(tǒng)的管理與運營責任,包括更新與安全補丁安裝、應用程序軟件關聯(lián)以及云端網(wǎng)絡防火墻配置等等。在虛擬實例方面,客戶有責任認真考量他們所選擇的服務選項,確保所使用的服務與其實際需求相匹配,將這些服務與IT環(huán)境整合起來并遵循適用的法律法規(guī)要求。
但隨著無服務器計算(亦被稱為函數(shù)即服務,簡稱FaaS)的出現(xiàn),安全性的天秤進一步朝著云服務供應商傾斜,這意味著組織能夠更多將這部分任務移交給供應商并進一步專注于自己的核心業(yè)務。然而,通過將安全責任轉(zhuǎn)移到云端,企業(yè)到底能夠獲得多少收益?在今天的文章中,我們將用簡單的比對聊聊這個問題。
核心要求:從物理層面到應用層的安全性保障
- 以下條目遵循自下而上的順序,我們將從物理安全性開始,一路上升至應用層。
- 物理基礎設施,物理邊界與硬件的訪問限制。
- 基礎設施設備與系統(tǒng)的安全配置。
- 定期對全部系統(tǒng)/進程(操作系統(tǒng)、服務等)的安全性進行測試。
- 發(fā)現(xiàn)并認證對系統(tǒng)(操作系統(tǒng)、服務等)的訪問活動。
- 對操作系統(tǒng)內(nèi)的安全缺陷進行補丁安裝與修復。
- 強化操作系統(tǒng)與服務。
- 保護全部系統(tǒng)免受惡意軟件與后門的影響。
- 對運行時環(huán)境以及相關軟件工具包內(nèi)的安全缺陷進行補丁安裝與修復。
- 預防漏洞利用,保護內(nèi)存。
- 網(wǎng)絡分區(qū)。
- 追蹤并監(jiān)控全部網(wǎng)絡資源與訪問活動。
- 網(wǎng)絡防火墻的安裝與維護。
- 網(wǎng)絡層DoS保護。
- 用戶身份驗證。
- 在訪問應用程序與數(shù)據(jù)時進行授權(quán)控制。
- 面向一切應用程序與數(shù)據(jù)訪問活動,對審計追蹤進行記錄與維護。
- 部署應用層防火墻以進行事件-數(shù)據(jù)檢查。
- 檢測并修復第三方依賴關系當中的安全漏洞。
- 使用最低權(quán)限IAM角色與權(quán)限設置。
- 強制實施合法的應用程序行為。
- 數(shù)據(jù)泄露防護。
- 在開發(fā)過程中以靜態(tài)方式掃描代碼與配置。
- 維護無服務器/云資產(chǎn)清單。
- 移除陳舊/未使用的云服務與函數(shù)。
- 持續(xù)監(jiān)控錯誤與安全事故。
IaaS:服務供應商與客戶

IaaS:安全責任;
云服務供應商責任;
客戶責任;
在IaaS上開發(fā)應用程序時,安全責任大致包含以下幾種:
云服務供應商責任
- 物理基礎設施,物理邊界與硬件的訪問限制。
- 保護基礎設施設備與系統(tǒng)的配置。
客戶責任
- 定期對全部系統(tǒng)/進程(操作系統(tǒng)、服務等)的安全性進行測試。
- 發(fā)現(xiàn)并認證對系統(tǒng)(操作系統(tǒng)、服務等)的訪問活動。
- 對操作系統(tǒng)內(nèi)的安全缺陷進行補丁安裝與修復。
- 強化操作系統(tǒng)與服務。
- 保護全部系統(tǒng)免受惡意軟件與后門的影響。
- 對運行時環(huán)境以及相關軟件工具包內(nèi)的安全缺陷進行補丁安裝與修復。
- 預防漏洞利用,保護內(nèi)存。
- 網(wǎng)絡分區(qū)。
- 追蹤并監(jiān)控全部網(wǎng)絡資源與訪問活動。
- 網(wǎng)絡防火墻的安裝與維護。
- 網(wǎng)絡層DoS保護。
- 用戶身份驗證。
- 在訪問應用程序與數(shù)據(jù)時進行授權(quán)控制。
- 面向一切應用程序與數(shù)據(jù)訪問活動,對審計追蹤進行記錄與維護。
- 部署應用層防火墻以進行事件-數(shù)據(jù)檢查。
無服務器(FaaS):云服務供應商與客戶

無服務器:安全責任;
無服務器云服務供應商責任;
無服務器客戶責任;
在立足無服務器架構(gòu)進行應用程序開發(fā)時,如何進行責任劃分:
云服務供應商責任
- 物理基礎設施,物理邊界與硬件的訪問限制。
- 基礎設施設備與系統(tǒng)的安全配置。
- 定期對全部系統(tǒng)/進程(操作系統(tǒng)、服務等)的安全性進行測試。
- 發(fā)現(xiàn)并認證對系統(tǒng)(操作系統(tǒng)、服務等)的訪問活動。
- 對操作系統(tǒng)內(nèi)的安全缺陷進行補丁安裝與修復。
- 強化操作系統(tǒng)與服務。
- 保護全部系統(tǒng)免受惡意軟件與后門的影響。
- 對運行時環(huán)境以及相關軟件工具包內(nèi)的安全缺陷進行補丁安裝與修復。
- 預防漏洞利用,保護內(nèi)存。
- 網(wǎng)絡分區(qū)。
- 追蹤并監(jiān)控全部網(wǎng)絡資源與訪問活動。
- 網(wǎng)絡防火墻的安裝與維護。
- 網(wǎng)絡層DoS保護。
客戶責任
- 用戶身份驗證。
- 在訪問應用程序與數(shù)據(jù)時進行授權(quán)控制。
- 面向一切應用程序與數(shù)據(jù)訪問活動,對審計追蹤進行記錄與維護。
- 部署應用層防火墻以進行事件-數(shù)據(jù)檢查。
- 檢測并修復第三方依賴關系當中的安全漏洞。
- 使用最低權(quán)限IAM角色與權(quán)限設置。
- 強制實施合法的應用程序行為。
- 數(shù)據(jù)泄露防護。
- 在開發(fā)過程中以靜態(tài)方式掃描代碼與配置。
- 維護無服務器/云資產(chǎn)清單。
- 移除陳舊/未使用的云服務與函數(shù)。
- 持續(xù)監(jiān)控錯誤與安全事故。
FaaS還是SaaS?
很明顯,各項任務與要求并非一一對等,以上提到的一部分任務與要求,顯然要比其它任務與要求占用更多資源與預算。但這僅僅是一份對比參考,如果您不同意這個方法或者結(jié)論,也請在評論中分享您的真知灼見。