無(wú)服務(wù)器可從本質(zhì)上提高安全性，因?yàn)樗氖芄裘婧苄?，并且將一些安全職?zé)轉(zhuǎn)移給了云提供商。例如，AWS 負(fù)責(zé)修復(fù)和更新平臺(tái)軟件，包括 AWS Lambda 執(zhí)行環(huán)境的操作系統(tǒng)和運(yùn)行時(shí)。

　　盡管如此，企業(yè)仍需在以下幾個(gè)方面加強(qiáng)重視：

　　1. 可視性。監(jiān)控和觀察無(wú)服務(wù)器函數(shù)及其位置和訪問(wèn)它們的資源至關(guān)重要。知己知彼并不容易，但卻非常重要。

　　2. 狀態(tài)管理?？紤]到企業(yè)部署的函數(shù)數(shù)量之多，安全與合規(guī)狀態(tài)的管理變得愈發(fā)關(guān)鍵且不易管理。無(wú)服務(wù)器應(yīng)用包含數(shù)百甚至數(shù)千個(gè)微服務(wù)，只有每個(gè)微服務(wù)配置正確，才可確保持續(xù)安全和合規(guī)。

　　3. 應(yīng)用安全。運(yùn)行應(yīng)用的無(wú)服務(wù)器函數(shù)既是無(wú)狀態(tài)的，也是短暫的。組織在保護(hù)應(yīng)用層時(shí)應(yīng)謹(jǐn)記這些特性，避免應(yīng)用遭到重復(fù)的上游基礎(chǔ)設(shè)施攻擊。

　　無(wú)服務(wù)器攻擊與普通網(wǎng)絡(luò)攻擊不同，必須要部署相應(yīng)的安全措施。首先，無(wú)服務(wù)器攻擊通常具有重復(fù)性，這意味著您很難通過(guò)辨別單一事件的好壞來(lái)檢測(cè)攻擊。其次，攻擊對(duì)象涉及多個(gè)資源。因此，要想找出并調(diào)查攻擊，用戶需要分析整個(gè)應(yīng)用流程，而不是單個(gè)資源或 Lambda 函數(shù)調(diào)用。

　　無(wú)服務(wù)器應(yīng)用保護(hù)面臨以下重大挑戰(zhàn)：

　　• 將攻擊面降到最小，讓攻擊無(wú)處下手

　　• 正確檢測(cè)攻擊，盡管面臨上述挑戰(zhàn)

　　• 抵御應(yīng)用層攻擊，同時(shí)不給無(wú)服務(wù)器函數(shù)帶來(lái)難以承受的安全負(fù)擔(dān)

　　為了解決此問(wèn)題，Check Point CloudGuard 重點(diǎn)研究了三大無(wú)服務(wù)器防御策略。

　　1. CloudGuard 可在部署和生產(chǎn)過(guò)程中持續(xù)分析無(wú)服務(wù)器應(yīng)用，以便檢測(cè)安全漏洞，幫助 SecOps 和 DevOps 團(tuán)隊(duì)開(kāi)展協(xié)作，快速解決安全問(wèn)題。

　　2. CloudGuard 可分析來(lái)自應(yīng)用活動(dòng)和日志的實(shí)時(shí)遙測(cè)數(shù)據(jù)流，并隔離需要客戶關(guān)注的安全事件，將多個(gè)資源的小事件整理成單個(gè)事件。

　　3. 最后，CloudGuard 使用詳細(xì)的狀態(tài)和行為數(shù)據(jù)，為應(yīng)用的每個(gè)部分編譯高度定制的安全防御策略，從而最大限度地減少安全成本。

　　這一方法通過(guò)與無(wú)服務(wù)器提供程序（包括 AWS Lambda）進(jìn)行智能、安全地集得到了進(jìn)一步強(qiáng)化。

　　最近，AWS Lambda 發(fā)布了公開(kāi)預(yù)覽版 Lambda 擴(kuò)展功能，它與 Check Point CloudGuard 進(jìn)行了深度集成，有助于改善對(duì) Lambda 函數(shù)的監(jiān)控以及 Lambda 函數(shù)的可觀察性、安全性和可管理性。借助 CloudGuard 擴(kuò)展功能，組織甚至可以在函數(shù)進(jìn)入運(yùn)行時(shí)/調(diào)用之前，直接將其插入 Lambda 的執(zhí)行環(huán)境，并使用 CloudGuard 來(lái)擴(kuò)展函數(shù)。CloudGuard 還可以與函數(shù)調(diào)用并行運(yùn)行，公開(kāi) Lambda 執(zhí)行的不同階段，并提供附加功能來(lái)防止出現(xiàn)漏洞和漏洞利用程序。

　　Check Point CloudGuard 的定制策略、監(jiān)控和修復(fù)功能本就可以幫助組織輕松管理應(yīng)用安全，與 Lambda 的集成無(wú)疑會(huì)進(jìn)一步簡(jiǎn)化后臺(tái)的無(wú)服務(wù)器安全保護(hù)。此次集成允許 CloudGuard 在函數(shù)調(diào)用之前、期間和之后捕獲診斷信息，并直接從 Lambda 環(huán)境中傳輸該信息，同時(shí)運(yùn)行強(qiáng)化的安全代理，以檢測(cè)函數(shù)活動(dòng)并直接向 CloudGuard 發(fā)出警報(bào)。

　　簡(jiǎn)言之，Check Point CloudGuard 已將安全監(jiān)控?cái)?shù)據(jù)聚合從進(jìn)程內(nèi)注入的安全層移至進(jìn)程外擴(kuò)展程序。這有助于利用更多異步消息處理功能，因此日志傳遞不會(huì)延遲函數(shù)執(zhí)行，并支持跨多個(gè)調(diào)用安全聚合日志。全面的 CloudGuard 解決方案涵蓋了上述所有功能，同時(shí)提供了詳細(xì)的應(yīng)用安全和防御狀態(tài)視圖，允許安全工程師、開(kāi)發(fā)人員和管理員查看每個(gè)問(wèn)題或事件并采取相應(yīng)措施。

　　CloudGuard 可針對(duì)每個(gè)問(wèn)題或事件提供明確的信息，包括事件的證據(jù)、存在的風(fēng)險(xiǎn)以及短期和長(zhǎng)期補(bǔ)救措施。向所有利益相關(guān)者提供清晰詳細(xì)的信息對(duì)于盡快緩解安全風(fēng)險(xiǎn)至關(guān)重要。