管理无服务器安全需要适当的控制和策略。尽管云计算服务器安全策略对云中的虚拟计算服务器实例有效,但如果没有服务器计算,则需要更高级别的控制、粒度和可见性。
1、不减少服务器权限
如果没有服务器计算,最大的风险是服务器拥有的权限超过了要求。如果没有服务器,则可以通过所有部署功能的最小权限模型显著减少攻击面。在功能开发阶段,可以在联机环境中设置自动检查,以减少权限数量。分析函数行为以查看运行函数实际使用的权限。此可见性允许管理员仅使用所需的权限。
2、实施认证
无论这些功能是否位于同一云计算提供商中,都必须执行访问控制和身份验证才能访问服务的所有功能。云计算提供商为实现管理员在无需服务器身份验证的情况下应遵循的最佳实践提供指导。
3、使用云平台提供商的控件
云计算提供商提供各种集成服务,帮助用户检测潜在的错误设置。例如,AWS可信顾问是运行AWS lambda的一个选项。
4、记录功能活动
没有任何服务器功能是事件驱动的和无状态的,因此在查看实时活动时,您可能会错过其中的大部分。当云计算提供商(或第三方提供商)需要在没有服务器的情况下监视日志记录和应用程序以搜索威胁时,可以使用审计跟踪。
5、监控功能层
函数可以有多个层,可以访问各种第三方代码和数据库。监控功能层允许管理员识别注入尝试和恶意活动。
6、考虑第三方安全工具
虽然服务器平台提供商通常不集成一些安全控制,但他们的范围通常是有限的,并且他们只关注运行这些功能的平台。有多种第三方工具和技术可为无服务器计算提供额外的可见性和控制。
7、没有服务器计算安全提供程序
虽然没有服务器计算安全工具的市场相对较新,但在这一领域已经有几个供应商。由于无服务器技术通常与短期无状态容器的使用有关,因此它与安全提供商重叠。
1、Aqua Security安全
Aqua Security提供了一个完整的容器和无服务器安全平台,使组织能够评估和减轻无服务器风险。
2、Nuweba
Nuweba是2019年2月推出的无服务器行业新星,它有自己的安全功能,即服务平台,可以与大型公共云提供商的无服务器服务集成。
3、Puresec公司
PureSec没有服务器安全平台,设计用于解决服务器安全问题。它可以集成到现有的CI/CD(继续集成/内容开发)工作流中。
4、Protego Labs实验室
Protego Labs还专注于无服务器安全,其目标是提供从开发到部署的全生命周期安全。
5、Snyk
Snyk平台允许公司持续扫描以识别潜在风险。
6、Twistlock
Twistlock的平台在整个开发和部署生命周期中提供了无容器和服务器功能的安全性。