无服务器技术将面临着什么样的安全风险
(文章来源:至顶网)
最近几年,无服务器计算技术实现了显著的增长,同时也伴随着新解决方案生态系统的蓬勃发展。这些新的解决方案提供了可观察性、实时追踪、部署框架、以及应用安全性。
随着无服务器安全风险逐渐引发人们的关注,那些嘲笑者和愤世嫉俗者们所谓“fud”——恐惧、不确定、怀疑——的习惯又一次发作,他们指出,尽管无服务器技术在软件快速部署和大幅降低tco方面有着巨大的价值,但同时也带来了新的安全挑战。
衡量一项成熟技术的关键指标之一,是该技术的生态系统。是否拥有蓬勃发展的社区、广泛的文档、最佳实践指南和工具,决定了企业组织是否会信任并采用新的技术。
最近,云安全联盟(cloud security alliance,csa)联合puresec公司合作撰写了一份无服务器安全指南,这份指南从去年的版本中汲取了大部分的内容,同时增加了两个重要的风险等级。这份题为《无服务器应用12个最严重的风险》的指南,是针对那些处理无服务器应用的安全和开发受众编写的,但内容并不仅限于指出这些风险的存在,还为所有主流平台提供了最佳实践。
无服务器技术可以采用不同事件源输入的数据,而且每个事件源都有自己特有的消息格式和编码机制。这些事件消息中,可能包含了受攻击者控制的、或者不受信任的数据输入,这些是需要经过严格审查的。
由于无服务器改善了面向微服务的系统设计,因此应用可能包含数十个甚至数百个功能。如果不谨慎执行的话,身份验证过程中就很容易出现错误。云提供商提供了很多设置选项,可以根据特定需求调整服务。开箱即用的设置不一定是最安全的选择。随着越来越多的企业组织迁移到云端,云配置出现漏洞也越来越普遍。
管理功能权限和角色,是企业组织在把应用部署到云端时,面临的最艰巨的安全挑战之一。有时候开发人员想走捷径,采用“通吃”的权限模型,这是很常见的。
虽然大多数云厂商都提供了非常强大的日志记录功能,但这些日志并不一定适合于在应用层提供完整的安全事件审计跟踪功能。虽然第三方库的不安全性,并不是只有无服务器技术才有的缺点,但由于缺乏应用网络和行为安全控制能力,无服务器环境中检测出的恶意软件包要更加复杂一些。
应用秘密存储最常出现的问题之一,就是把这些秘密信息简单地保存成某个软件项目中的一个纯文本文件,或者是把这些秘密信息保存成一个作为环境变量的纯文本文件。无服务器架构具有自动可扩展和高可用性等特点,但是,与任何其他类型的应用一样,无服务器需要采用最佳实践和良好的设计以避免出现瓶颈,是至关重要的。
HDC2022丨中软国际发力智联网自主创新,数智赋能千行百业
LED照明应对世界末日
如何在树莓派上托管WordPress网站
为何苹果头戴式耳机刚发布便遭吐槽?
锂离子电池电极材料中的交叉效应研究
无服务器技术将面临着什么样的安全风险
小身形+高性能,HH1802化身智能设备的“第二双眼”!
智能工厂和传统工厂有什么不同?如何转型?
基于STM32CUBEMX驱动TMOS模块STHS34PF80(1)----获取ID
化肥氮磷钾检测仪的特点有哪些
2018深圳国际全触与显示展TAP特邀贵宾正式启动
贸泽电子连续第三年荣获Neutrik年度分销商大奖
大联大诠鼎集团力推TOSHIBA相关于工业电子和消费类电子完整解决方案
微软Surface Laptop发布,价格依然高昂,6888起步
什么是时分多址联接(TDMA)
电源模块中的EMC前级原理及抗浪涌电路分析
vivo X60系列首销战报公布
台积电:已度过周期底部,市场需求将推动业务持续增长
怎么搭建zedboard的编译环境?
5G技术在此次抗击疫情的过程中发挥了哪些作用
最近几年,无服务器计算技术实现了显著的增长,同时也伴随着新解决方案生态系统的蓬勃发展。这些新的解决方案提供了可观察性、实时追踪、部署框架、以及应用安全性。
随着无服务器安全风险逐渐引发人们的关注,那些嘲笑者和愤世嫉俗者们所谓“fud”——恐惧、不确定、怀疑——的习惯又一次发作,他们指出,尽管无服务器技术在软件快速部署和大幅降低tco方面有着巨大的价值,但同时也带来了新的安全挑战。
衡量一项成熟技术的关键指标之一,是该技术的生态系统。是否拥有蓬勃发展的社区、广泛的文档、最佳实践指南和工具,决定了企业组织是否会信任并采用新的技术。
最近,云安全联盟(cloud security alliance,csa)联合puresec公司合作撰写了一份无服务器安全指南,这份指南从去年的版本中汲取了大部分的内容,同时增加了两个重要的风险等级。这份题为《无服务器应用12个最严重的风险》的指南,是针对那些处理无服务器应用的安全和开发受众编写的,但内容并不仅限于指出这些风险的存在,还为所有主流平台提供了最佳实践。
无服务器技术可以采用不同事件源输入的数据,而且每个事件源都有自己特有的消息格式和编码机制。这些事件消息中,可能包含了受攻击者控制的、或者不受信任的数据输入,这些是需要经过严格审查的。
由于无服务器改善了面向微服务的系统设计,因此应用可能包含数十个甚至数百个功能。如果不谨慎执行的话,身份验证过程中就很容易出现错误。云提供商提供了很多设置选项,可以根据特定需求调整服务。开箱即用的设置不一定是最安全的选择。随着越来越多的企业组织迁移到云端,云配置出现漏洞也越来越普遍。
管理功能权限和角色,是企业组织在把应用部署到云端时,面临的最艰巨的安全挑战之一。有时候开发人员想走捷径,采用“通吃”的权限模型,这是很常见的。
虽然大多数云厂商都提供了非常强大的日志记录功能,但这些日志并不一定适合于在应用层提供完整的安全事件审计跟踪功能。虽然第三方库的不安全性,并不是只有无服务器技术才有的缺点,但由于缺乏应用网络和行为安全控制能力,无服务器环境中检测出的恶意软件包要更加复杂一些。
应用秘密存储最常出现的问题之一,就是把这些秘密信息简单地保存成某个软件项目中的一个纯文本文件,或者是把这些秘密信息保存成一个作为环境变量的纯文本文件。无服务器架构具有自动可扩展和高可用性等特点,但是,与任何其他类型的应用一样,无服务器需要采用最佳实践和良好的设计以避免出现瓶颈,是至关重要的。
HDC2022丨中软国际发力智联网自主创新,数智赋能千行百业
LED照明应对世界末日
如何在树莓派上托管WordPress网站
为何苹果头戴式耳机刚发布便遭吐槽?
锂离子电池电极材料中的交叉效应研究
无服务器技术将面临着什么样的安全风险
小身形+高性能,HH1802化身智能设备的“第二双眼”!
智能工厂和传统工厂有什么不同?如何转型?
基于STM32CUBEMX驱动TMOS模块STHS34PF80(1)----获取ID
化肥氮磷钾检测仪的特点有哪些
2018深圳国际全触与显示展TAP特邀贵宾正式启动
贸泽电子连续第三年荣获Neutrik年度分销商大奖
大联大诠鼎集团力推TOSHIBA相关于工业电子和消费类电子完整解决方案
微软Surface Laptop发布,价格依然高昂,6888起步
什么是时分多址联接(TDMA)
电源模块中的EMC前级原理及抗浪涌电路分析
vivo X60系列首销战报公布
台积电:已度过周期底部,市场需求将推动业务持续增长
怎么搭建zedboard的编译环境?
5G技术在此次抗击疫情的过程中发挥了哪些作用