借助Microsoft Azure 提供的無服務(wù)器平臺Azure功能,開發(fā)人員可以簡單地部署代碼來運行作業(yè),而無需了解底層基礎(chǔ)設(shè)施或操作系統(tǒng)。Azure功能平臺負責(zé)管理部署環(huán)境,智能響應(yīng)潛在事件,例如消息隊列中的數(shù)據(jù)或數(shù)據(jù)流中的更改。
云共享責(zé)任模型
云計算允許公司將托管和維護其底層基礎(chǔ)設(shè)施的責(zé)任外包給第三方云服務(wù)提供商。這使公司能夠利用云的各種優(yōu)勢,并將保護此底層基礎(chǔ)設(shè)施的責(zé)任移交給云提供商。
然而,在云共享責(zé)任模型下,云提供商并不對客戶的云部署承擔(dān)全部責(zé)任。根據(jù)所使用的云模型(SaaS、IaaS、PaaS 等),客戶可以訪問和控制其云基礎(chǔ)架構(gòu)堆棧的某些級別。除了配置和維護這些級別之外,客戶還負責(zé)充分保護它們。
什么是無服務(wù)器安全?
充分利用云計算的優(yōu)勢需要部署云原生解決方案。無服務(wù)器應(yīng)用程序(例如Azure功能)在云提供商管理整個基礎(chǔ)架構(gòu)堆棧而不是客戶的環(huán)境中運行,從而為開發(fā)人員創(chuàng)建一個托管環(huán)境以在其中部署和執(zhí)行代碼。
無服務(wù)器功能和環(huán)境的設(shè)計會帶來獨特的安全風(fēng)險。例如,無服務(wù)器功能是僅在響應(yīng)特定事件時才處于活動狀態(tài)的應(yīng)用程序,因此很難使用傳統(tǒng)的安全解決方案對其進行有效監(jiān)控。無服務(wù)器安全性提供針對Azure功能和其他無服務(wù)器應(yīng)用程序的獨特需求和安全挑戰(zhàn)量身定制的安全性。
Azure功能安全性的重要性
隨著公司更全面地采用 Microsoft Azure,可能已經(jīng)“提升和轉(zhuǎn)移”的遺留應(yīng)用程序可能會被重新設(shè)計為云原生無服務(wù)器應(yīng)用程序,而新的開發(fā)將充分利用無服務(wù)器生態(tài)系統(tǒng)。因此,一家公司將擁有越來越多的無服務(wù)器應(yīng)用程序。
這些應(yīng)用程序可能會訪問敏感信息并實施組織 IT 解決方案的核心組件。實施強大的Azure功能安全性對于防止數(shù)據(jù)泄露、關(guān)鍵服務(wù)中斷以及對組織運營的其他潛在威脅至關(guān)重要。
Azure功能安全最佳實踐
Azure功能等無服務(wù)器應(yīng)用程序面臨許多與非無服務(wù)器應(yīng)用程序相同的安全威脅。但是,無服務(wù)器功能也具有獨特的安全風(fēng)險和管理它們的最佳實踐。
其中一些最佳實踐包括:
驗證不受信任的輸入:注入攻擊是對應(yīng)用程序安全的最大威脅之一,這些漏洞的存在是因為應(yīng)用程序?qū)Σ皇苄湃蔚妮斎胱龀黾僭O(shè)而不強制執(zhí)行。在處理輸入之前驗證輸入可以保護Azure功能和其他應(yīng)用程序免受注入攻擊。
實施最低權(quán)限:如果Azure功能存在可利用的漏洞,則攻擊者可能會利用此漏洞訪問敏感數(shù)據(jù)或其他企業(yè) IT 資產(chǎn)。將Azure功能的訪問權(quán)限限制為僅對其角色所需的訪問權(quán)限有助于最大限度地減少應(yīng)用程序受到攻擊或其他問題的影響。
管理供應(yīng)鏈風(fēng)險:應(yīng)用程序通常依賴于各種第三方庫和其他外部依賴項,其中可能包含可被攻擊者利用的漏洞。監(jiān)視安全更新的依賴項并及時安裝它們對于維護依賴它們的應(yīng)用程序的安全性至關(guān)重要。
安全的云存儲:Azure功能通常是無狀態(tài)的,依賴云存儲來維護重要的狀態(tài)數(shù)據(jù);然而,云數(shù)據(jù)安全是組織面臨的共同挑戰(zhàn)。限制對云數(shù)據(jù)存儲的訪問對于無服務(wù)器函數(shù)數(shù)據(jù)的機密性、完整性和可用性至關(guān)重要。
保護函數(shù)機密:Azure功能可能需要訪問機密信息,例如加密密鑰、API 密鑰和其他數(shù)據(jù)。這些數(shù)據(jù)必須安全存儲,而不是放置在攻擊者可能訪問的明文配置文件或環(huán)境變量中。
實施零信任安全:無服務(wù)器應(yīng)用程序旨在相互連接。由于一些可能是面向公眾的,而另一些可能會訪問關(guān)鍵數(shù)據(jù)和功能,因此薄弱的身份驗證和訪問管理實踐可能會使關(guān)鍵功能容易受到攻擊。應(yīng)在零信任模型下實施身份驗證和授權(quán),在該模型中,每個訪問請求都會根據(jù)最低權(quán)限訪問控制進行審查和批準或拒絕。
網(wǎng)站資訊
解決方案
關(guān)于我們
