無服務器計算:功能與基礎設施即服務
責編:gltian |2019-02-25 13:32:54安全性是云供應商和客戶之間共同承擔的責任。因為云供應商在進行操作和管控時,按需靈活組合使用物理和虛擬化IT及IDC資源,這種共享模型有助于減輕客戶的運營負擔。
目前,當客戶在基礎設施即服務(IaaS)平臺上部署應用程序時,客戶承擔著管理操作系統的責任,包括更新安全補丁、關聯應用程序和配置網絡防火墻。針對云環境中的虛擬項目實例來講,客戶需要仔細考慮如何選擇云服務,這具體取決于所使用的服務與IT環境的集成和法律法規的適用情況等等。
隨著無服務器計算(FaaS或功能即服務)的引入,安全責任更加向云供應商轉移,企業可轉移更多事項以專注于核心業務。但是,通過將安全責任轉移到云,公司從中真正獲得了多少收益?
核心要求:從物理安全到應用安全
以下項自下而上列出,從物理層延伸至應用層。
- 物理基礎設施,物理邊界和硬件的訪問限制
- 安全配置基礎設施和系統
- 定期測試所有系統和進程(操作系統、服務)的安全性
- 識別和認證對系統的訪問(操作系統、服務)
- 修復操作系統中的缺陷
- 加強操作系統和服務
- 保護所有系統免受惡意軟件和后門的侵害
- 修復運行時環境和相關軟件包中的漏洞
- 預防并實施存儲保護
- 細分網絡
- 監控所有網絡資源和訪問
- 安裝和維護網絡防火墻
- 網絡層DoS保護
- 用戶身份驗證
- 訪問應用程序和數據時的權限控制
- 記錄并維護對應用程序和所有訪問數據的審計及跟蹤
- 部署應用層防火墻以進行事件數據審查
- 檢測并修復第三方附屬項中的漏洞
- 使用權限最低的IAM(身份識別與訪問管理)角色和權限
- 實施合法的應用程序運營
- 數據防泄密
- 在開發過程中靜態掃描代碼和配置
- 維護無服務器或云資產庫存
- 刪除超時或未使用的云服務和功能
- 持續監控錯誤和安全事件
IaaS:供應商與客戶
在IaaS上開發應用程序時,安全責任大致分為以下幾種:
1. 云供應商責任:
- IT基礎設施、物理邊界和硬件的訪問限制
- 安全配置基礎設施和系統
2. 客戶責任:
- 定期測試所有系統和進程(操作系統,服務)的安全性
- 識別和認證對系統的訪問(操作系統,服務)
- 修補操作系統中的缺陷
- 加強操作系統和服務
- 保護所有系統免受惡意軟件和后門的侵害
- 修復運行時環境和相關軟件包中的缺陷
- 預防并進行存儲保護
- 細分網絡
- 跟蹤和監控所有網絡資源和訪問
- 安裝和維護網絡防火墻
- 網絡層DoS保護
- 用戶身份驗證
- 訪問應用程序和數據時的權限控制
- 記錄和維護對應用程序和所有訪問數據的審計及跟蹤
- 部署應用層防火墻以進行事件數據審查
無服務器(FaaS):供應商與客戶
在無服務器架構上開發應用程序時應如何分擔責任:
1. 云供應商責任:
- 物理基礎設施,物理邊界和硬件的訪問限制
- 安全配置基礎設施和系統
- 定期測試所有系統和進程(操作系統,服務)的安全性
- 識別和認證對系統的訪問(操作系統,服務)
- 修復操作系統中的缺陷
- 加強操作系統和服務
- 保護所有系統免受惡意軟件和后門的侵害
- 修復運行時環境和相關軟件包中的缺陷
- 預防并進行存儲保護
- 細分網絡
- 跟蹤和監控所有網絡資源和訪問
- 安裝和維護網絡防火墻
- 網絡層DoS保護
2. 客戶責任:
- 用戶身份驗證
- 訪問應用程序和數據時的授權控制
- 記錄和維護對應用程序和所有訪問數據的審計及跟蹤
- 部署應用程序層防火墻以進行事件數據檢查
- 檢測并修復第三方附屬項中的漏洞
- 使用權限最低的IAM(身份識別與訪問管理)角色和權限
- 實施合法的應用程序行為
- 數據防泄密
- 在開發過程中靜態掃描代碼和配置
- 維護無服務器或云資產庫存
- 刪除超時或未使用的云服務和功能
- 持續監控錯誤和和安全事件