就在不久之前,當(dāng)向基礎(chǔ)設(shè)施即服務(wù)(簡(jiǎn)稱IaaS)平臺(tái)部署應(yīng)用程序時(shí),客戶還仍然需要承擔(dān)操作系統(tǒng)的管理與運(yùn)營(yíng)責(zé)任,包括更新與安全補(bǔ)丁安裝、應(yīng)用程序軟件關(guān)聯(lián)以及云端網(wǎng)絡(luò)防火墻配置等等。在虛擬實(shí)例方面,客戶有責(zé)任認(rèn)真考量他們所選擇的服務(wù)選項(xiàng),確保所使用的服務(wù)與其實(shí)際需求相匹配,將這些服務(wù)與IT環(huán)境整合起來(lái)并遵循適用的法律法規(guī)要求。
但隨著無(wú)服務(wù)器計(jì)算(亦被稱為函數(shù)即服務(wù),簡(jiǎn)稱FaaS)的出現(xiàn),安全性的天秤進(jìn)一步朝著云服務(wù)供應(yīng)商傾斜,這意味著組織能夠更多將這部分任務(wù)移交給供應(yīng)商并進(jìn)一步專注于自己的核心業(yè)務(wù)。然而,通過(guò)將安全責(zé)任轉(zhuǎn)移到云端,企業(yè)到底能夠獲得多少收益?在今天的文章中,我們將用簡(jiǎn)單的比對(duì)聊聊這個(gè)問(wèn)題。
核心要求:從物理層面到應(yīng)用層的安全性保障
- 以下條目遵循自下而上的順序,我們將從物理安全性開(kāi)始,一路上升至應(yīng)用層。
- 物理基礎(chǔ)設(shè)施,物理邊界與硬件的訪問(wèn)限制。
- 基礎(chǔ)設(shè)施設(shè)備與系統(tǒng)的安全配置。
- 定期對(duì)全部系統(tǒng)/進(jìn)程(操作系統(tǒng)、服務(wù)等)的安全性進(jìn)行測(cè)試。
- 發(fā)現(xiàn)并認(rèn)證對(duì)系統(tǒng)(操作系統(tǒng)、服務(wù)等)的訪問(wèn)活動(dòng)。
- 對(duì)操作系統(tǒng)內(nèi)的安全缺陷進(jìn)行補(bǔ)丁安裝與修復(fù)。
- 強(qiáng)化操作系統(tǒng)與服務(wù)。
- 保護(hù)全部系統(tǒng)免受惡意軟件與后門(mén)的影響。
- 對(duì)運(yùn)行時(shí)環(huán)境以及相關(guān)軟件工具包內(nèi)的安全缺陷進(jìn)行補(bǔ)丁安裝與修復(fù)。
- 預(yù)防漏洞利用,保護(hù)內(nèi)存。
- 網(wǎng)絡(luò)分區(qū)。
- 追蹤并監(jiān)控全部網(wǎng)絡(luò)資源與訪問(wèn)活動(dòng)。
- 網(wǎng)絡(luò)防火墻的安裝與維護(hù)。
- 網(wǎng)絡(luò)層DoS保護(hù)。
- 用戶身份驗(yàn)證。
- 在訪問(wèn)應(yīng)用程序與數(shù)據(jù)時(shí)進(jìn)行授權(quán)控制。
- 面向一切應(yīng)用程序與數(shù)據(jù)訪問(wèn)活動(dòng),對(duì)審計(jì)追蹤進(jìn)行記錄與維護(hù)。
- 部署應(yīng)用層防火墻以進(jìn)行事件-數(shù)據(jù)檢查。
- 檢測(cè)并修復(fù)第三方依賴關(guān)系當(dāng)中的安全漏洞。
- 使用最低權(quán)限IAM角色與權(quán)限設(shè)置。
- 強(qiáng)制實(shí)施合法的應(yīng)用程序行為。
- 數(shù)據(jù)泄露防護(hù)。
- 在開(kāi)發(fā)過(guò)程中以靜態(tài)方式掃描代碼與配置。
- 維護(hù)無(wú)服務(wù)器/云資產(chǎn)清單。
- 移除陳舊/未使用的云服務(wù)與函數(shù)。
- 持續(xù)監(jiān)控錯(cuò)誤與安全事故。
IaaS:服務(wù)供應(yīng)商與客戶
IaaS:安全責(zé)任;
云服務(wù)供應(yīng)商責(zé)任;
客戶責(zé)任;
在IaaS上開(kāi)發(fā)應(yīng)用程序時(shí),安全責(zé)任大致包含以下幾種:
云服務(wù)供應(yīng)商責(zé)任
- 物理基礎(chǔ)設(shè)施,物理邊界與硬件的訪問(wèn)限制。
- 保護(hù)基礎(chǔ)設(shè)施設(shè)備與系統(tǒng)的配置。
客戶責(zé)任
- 定期對(duì)全部系統(tǒng)/進(jìn)程(操作系統(tǒng)、服務(wù)等)的安全性進(jìn)行測(cè)試。
- 發(fā)現(xiàn)并認(rèn)證對(duì)系統(tǒng)(操作系統(tǒng)、服務(wù)等)的訪問(wèn)活動(dòng)。
- 對(duì)操作系統(tǒng)內(nèi)的安全缺陷進(jìn)行補(bǔ)丁安裝與修復(fù)。
- 強(qiáng)化操作系統(tǒng)與服務(wù)。
- 保護(hù)全部系統(tǒng)免受惡意軟件與后門(mén)的影響。
- 對(duì)運(yùn)行時(shí)環(huán)境以及相關(guān)軟件工具包內(nèi)的安全缺陷進(jìn)行補(bǔ)丁安裝與修復(fù)。
- 預(yù)防漏洞利用,保護(hù)內(nèi)存。
- 網(wǎng)絡(luò)分區(qū)。
- 追蹤并監(jiān)控全部網(wǎng)絡(luò)資源與訪問(wèn)活動(dòng)。
- 網(wǎng)絡(luò)防火墻的安裝與維護(hù)。
- 網(wǎng)絡(luò)層DoS保護(hù)。
- 用戶身份驗(yàn)證。
- 在訪問(wèn)應(yīng)用程序與數(shù)據(jù)時(shí)進(jìn)行授權(quán)控制。
- 面向一切應(yīng)用程序與數(shù)據(jù)訪問(wèn)活動(dòng),對(duì)審計(jì)追蹤進(jìn)行記錄與維護(hù)。
- 部署應(yīng)用層防火墻以進(jìn)行事件-數(shù)據(jù)檢查。
無(wú)服務(wù)器(FaaS):云服務(wù)供應(yīng)商與客戶
無(wú)服務(wù)器:安全責(zé)任;
無(wú)服務(wù)器云服務(wù)供應(yīng)商責(zé)任;
無(wú)服務(wù)器客戶責(zé)任;
在立足無(wú)服務(wù)器架構(gòu)進(jìn)行應(yīng)用程序開(kāi)發(fā)時(shí),如何進(jìn)行責(zé)任劃分:
云服務(wù)供應(yīng)商責(zé)任
- 物理基礎(chǔ)設(shè)施,物理邊界與硬件的訪問(wèn)限制。
- 基礎(chǔ)設(shè)施設(shè)備與系統(tǒng)的安全配置。
- 定期對(duì)全部系統(tǒng)/進(jìn)程(操作系統(tǒng)、服務(wù)等)的安全性進(jìn)行測(cè)試。
- 發(fā)現(xiàn)并認(rèn)證對(duì)系統(tǒng)(操作系統(tǒng)、服務(wù)等)的訪問(wèn)活動(dòng)。
- 對(duì)操作系統(tǒng)內(nèi)的安全缺陷進(jìn)行補(bǔ)丁安裝與修復(fù)。
- 強(qiáng)化操作系統(tǒng)與服務(wù)。
- 保護(hù)全部系統(tǒng)免受惡意軟件與后門(mén)的影響。
- 對(duì)運(yùn)行時(shí)環(huán)境以及相關(guān)軟件工具包內(nèi)的安全缺陷進(jìn)行補(bǔ)丁安裝與修復(fù)。
- 預(yù)防漏洞利用,保護(hù)內(nèi)存。
- 網(wǎng)絡(luò)分區(qū)。
- 追蹤并監(jiān)控全部網(wǎng)絡(luò)資源與訪問(wèn)活動(dòng)。
- 網(wǎng)絡(luò)防火墻的安裝與維護(hù)。
- 網(wǎng)絡(luò)層DoS保護(hù)。
客戶責(zé)任
- 用戶身份驗(yàn)證。
- 在訪問(wèn)應(yīng)用程序與數(shù)據(jù)時(shí)進(jìn)行授權(quán)控制。
- 面向一切應(yīng)用程序與數(shù)據(jù)訪問(wèn)活動(dòng),對(duì)審計(jì)追蹤進(jìn)行記錄與維護(hù)。
- 部署應(yīng)用層防火墻以進(jìn)行事件-數(shù)據(jù)檢查。
- 檢測(cè)并修復(fù)第三方依賴關(guān)系當(dāng)中的安全漏洞。
- 使用最低權(quán)限IAM角色與權(quán)限設(shè)置。
- 強(qiáng)制實(shí)施合法的應(yīng)用程序行為。
- 數(shù)據(jù)泄露防護(hù)。
- 在開(kāi)發(fā)過(guò)程中以靜態(tài)方式掃描代碼與配置。
- 維護(hù)無(wú)服務(wù)器/云資產(chǎn)清單。
- 移除陳舊/未使用的云服務(wù)與函數(shù)。
- 持續(xù)監(jiān)控錯(cuò)誤與安全事故。
FaaS還是SaaS?
很明顯,各項(xiàng)任務(wù)與要求并非一一對(duì)等,以上提到的一部分任務(wù)與要求,顯然要比其它任務(wù)與要求占用更多資源與預(yù)算。但這僅僅是一份對(duì)比參考,如果您不同意這個(gè)方法或者結(jié)論,也請(qǐng)?jiān)谠u(píng)論中分享您的真知灼見(jiàn)。
