工作負(fù)載，特別是云計(jì)算工作負(fù)載，是為擁有、借用和開(kāi)源代碼提供動(dòng)力的應(yīng)用程序工具。有許多不同類(lèi)型的工作負(fù)載，隨著數(shù)據(jù)中心的不斷發(fā)展，多年來(lái)出現(xiàn)了新的選擇。這些工作負(fù)載帶來(lái)的好處通常伴隨著新的安全和后勤挑戰(zhàn)。正如我們所看到的從裸機(jī)到虛擬機(jī)(VM)的演變，然后是微服務(wù)和容器的引入，組織需要主動(dòng)解決這些動(dòng)態(tài)環(huán)境，以便在它們受到威脅之前有效保護(hù)這些動(dòng)態(tài)環(huán)境。

這是我們?cè)谛碌脑圃h(huán)境出現(xiàn)時(shí)親眼看到的問(wèn)題。每個(gè)都為處理它們的企業(yè)帶來(lái)了新的安全挑戰(zhàn)和復(fù)雜性。 這就是為什么您需要密切監(jiān)控云中新架構(gòu)的安全性，如無(wú)服務(wù)器，以及開(kāi)發(fā)人員，操作人員和安全團(tuán)隊(duì)可以保持警惕的三種方式 – 無(wú)論您的組織如何與云提供商分擔(dān)安全責(zé)任。

無(wú)服務(wù)器示例

無(wú)服務(wù)器或功能即服務(wù)(FaaS)是構(gòu)建，架構(gòu)和開(kāi)發(fā)云原生應(yīng)用程序的最新方式。開(kāi)發(fā)團(tuán)隊(duì)將應(yīng)用程序代碼作為一組功能提供，而云提供程序負(fù)責(zé)運(yùn)行這些功能。這允許開(kāi)發(fā)人員專(zhuān)注于編碼，而提供商負(fù)責(zé)配置，擴(kuò)展和計(jì)費(fèi)。

過(guò)去一年中無(wú)服務(wù)器計(jì)算的采用呈指數(shù)級(jí)增長(zhǎng)。云計(jì)算本地計(jì)算基金會(huì)(CNCF)是一個(gè)包括許多世界上最大的公共云和企業(yè)軟件公司以及100多家創(chuàng)新初創(chuàng)公司的組織，最近對(duì)550多名社區(qū)成員進(jìn)行了調(diào)查，以解決當(dāng)前的云原生技術(shù)問(wèn)題。該調(diào)查發(fā)現(xiàn)，受訪(fǎng)者41%目前正在使用無(wú)服務(wù)器技術(shù)，另有28%計(jì)劃在未來(lái)12-18個(gè)月內(nèi)使用。

這種新的無(wú)服務(wù)器計(jì)算的迅速普及引發(fā)了新的問(wèn)題，即誰(shuí)擁有使用無(wú)服務(wù)器框架(客戶(hù)或云提供商)部署的應(yīng)用程序的安全性?正如前面提到的，在傳統(tǒng)的共享安全模型繪制云和一個(gè)什么樣的安全保障之間明確的界限在云中，在無(wú)服務(wù)器模式轉(zhuǎn)變一些責(zé)任推回給云供應(yīng)商管理，操作系統(tǒng)，讓負(fù)責(zé)該應(yīng)用程序的客戶(hù)在他們的云環(huán)境中運(yùn)行。

對(duì)于DevOps和安全團(tuán)隊(duì)來(lái)說(shuō)，這似乎是個(gè)好消息，因?yàn)樗麄兛梢愿鼘?zhuān)注于構(gòu)建產(chǎn)品和應(yīng)用程序而不是安全性，知道它正在被處理。但是，使用無(wú)服務(wù)器架構(gòu)意味著組織有新的盲點(diǎn)，僅僅因?yàn)樗麄儾辉倌軌蛟L(fǎng)問(wèn)架構(gòu)的操作系統(tǒng)，從而阻止他們?cè)谶@些工作負(fù)載中添加防火墻，基于主機(jī)的入侵防護(hù)或工作負(fù)載保護(hù)工具。

由于無(wú)服務(wù)器是一種相對(duì)較新的架構(gòu)，組織和云提供商仍在學(xué)習(xí)如何處理和保護(hù)它，而攻擊者仍在學(xué)習(xí)如何利用它。這就是為什么保護(hù)無(wú)服務(wù)器基礎(chǔ)架構(gòu)超出共享責(zé)任模型概述的重要性。

合作準(zhǔn)備整體工作負(fù)載安全性

隨著無(wú)服務(wù)器等新計(jì)算方法的出現(xiàn)，適用于傳統(tǒng)工作負(fù)載的共享責(zé)任模型變得不那么清晰，安全專(zhuān)業(yè)人員需要做好準(zhǔn)備來(lái)保護(hù)這些新的工作負(fù)載。遵循以下指導(dǎo)可以幫助安全專(zhuān)家準(zhǔn)備他們的服務(wù)，以安全地在無(wú)服務(wù)器云中運(yùn)行。

1.不要相信誰(shuí)擁有云環(huán)境中的安全性。現(xiàn)代數(shù)據(jù)中心本質(zhì)上是復(fù)雜的，這導(dǎo)致了固有的盲點(diǎn)，導(dǎo)致數(shù)據(jù)中心的某些元素缺乏明確的所有權(quán)。相信誰(shuí)擁有安全性可能會(huì)在漏洞出現(xiàn)時(shí)讓公司陷入困境。在漏洞出現(xiàn)之前定義誰(shuí)擁有安全性的規(guī)則將防止成為受害者并指責(zé)手指。

2.確保在復(fù)雜的現(xiàn)代數(shù)據(jù)中心內(nèi)完全了解所有類(lèi)型的工作負(fù)載。 缺乏對(duì)所有類(lèi)型的不同工作負(fù)載的完全可見(jiàn)性使得保護(hù)整個(gè)云架構(gòu)成為難以解決的問(wèn)題。為了避免數(shù)據(jù)中心各個(gè)層面的漏洞，客戶(hù)團(tuán)隊(duì) – 開(kāi)發(fā)人員，安全和運(yùn)營(yíng)團(tuán)隊(duì) – 必須假設(shè)他們的云提供商只負(fù)責(zé)安全措施的最低要求。

3.與您的云提供商合作，從頭開(kāi)始主動(dòng)為架構(gòu)構(gòu)建安全性。安全性是云提供商與其客戶(hù)之間的共同任務(wù)。發(fā)現(xiàn)攻擊或漏洞后，不要追溯修補(bǔ)或?qū)嵤┌踩胧?，而是從一開(kāi)始就與云提供商合作以防止攻擊。如果存在攻擊從高級(jí)別利用云提供程序，啟動(dòng)影響整個(gè)堆棧的攻擊，這一點(diǎn)尤為重要。

即使無(wú)服務(wù)器仍處于相對(duì)初期階段，它仍然存在。隨著新舊工作負(fù)載的出現(xiàn)和融合，在出現(xiàn)不可預(yù)測(cè)的漏洞之前，了解角色和職責(zé)并從粒度級(jí)別添加安全控制非常重要。如果沒(méi)有確保所有類(lèi)型的體系結(jié)構(gòu)(VM，容器和/或無(wú)服務(wù)器)的安全性，現(xiàn)代數(shù)據(jù)中心將無(wú)法有效運(yùn)行。傳統(tǒng)的共享責(zé)任模型正在不斷發(fā)展，組織需要通過(guò)了解其重新定義的云安全責(zé)任來(lái)保持同步，否則它們將不可避免地落后。