云安全新形态:函数即服务(FaaS)对阵基础设施即服务(IaaS)
至顶网安全频道 02月07日 编译:安全性的责任应该由云服务供应商与客户共同承担。这种责任分摊模式有助于减轻客户的运营负担,因为云服务供应商将承担起从主机操作系统到虚拟化层,再到运行组件所必需的设施物理安全性等层面的一切运营、管理与控制职能。
就在不久之前,当向基础设施即服务(简称IaaS)平台部署应用程序时,客户还仍然需要承担操作系统的管理与运营责任,包括更新与安全补丁安装、应用程序软件关联以及云端网络防火墙配置等等。在虚拟实例方面,客户有责任认真考量他们所选择的服务选项,确保所使用的服务与其实际需求相匹配,将这些服务与IT环境整合起来并遵循适用的法律法规要求。
但随着无服务器计算(亦被称为函数即服务,简称FaaS)的出现,安全性的天秤进一步朝着云服务供应商倾斜,这意味着组织能够更多将这部分任务移交给供应商并进一步专注于自己的核心业务。然而,通过将安全责任转移到云端,企业到底能够获得多少收益?在今天的文章中,我们将用简单的比对聊聊这个问题。
核心要求:从物理层面到应用层的安全性保障
以下条目遵循自下而上的顺序,我们将从物理安全性开始,一路上升至应用层。
- 物理基础设施,物理边界与硬件的访问限制。
- 基础设施设备与系统的安全配置。
- 定期对全部系统/进程(操作系统、服务等)的安全性进行测试。
- 发现并认证对系统(操作系统、服务等)的访问活动。
- 对操作系统内的安全缺陷进行补丁安装与修复。
- 强化操作系统与服务。
- 保护全部系统免受恶意软件与后门的影响。
- 对运行时环境以及相关软件工具包内的安全缺陷进行补丁安装与修复。
- 预防漏洞利用,保护内存。
- 网络分区。
- 追踪并监控全部网络资源与访问活动。
- 网络防火墙的安装与维护。
- 网络层DoS保护。
- 用户身份验证。
- 在访问应用程序与数据时进行授权控制。
- 面向一切应用程序与数据访问活动,对审计追踪进行记录与维护。
- 部署应用层防火墙以进行事件-数据检查。
- 检测并修复第三方依赖关系当中的安全漏洞。
- 使用最低权限IAM角色与权限设置。
- 强制实施合法的应用程序行为。
- 数据泄露防护。
- 在开发过程中以静态方式扫描代码与配置。
- 维护无服务器/云资产清单。
- 移除陈旧/未使用的云服务与函数。
- 持续监控错误与安全事故。
IaaS:服务供应商与客户
IaaS:安全责任;
云服务供应商责任;
客户责任;
在IaaS上开发应用程序时,安全责任大致包含以下几种:
云服务供应商责任
- 物理基础设施,物理边界与硬件的访问限制。
- 保护基础设施设备与系统的配置。
客户责任
- 定期对全部系统/进程(操作系统、服务等)的安全性进行测试。
- 发现并认证对系统(操作系统、服务等)的访问活动。
- 对操作系统内的安全缺陷进行补丁安装与修复。
- 强化操作系统与服务。
- 保护全部系统免受恶意软件与后门的影响。
- 对运行时环境以及相关软件工具包内的安全缺陷进行补丁安装与修复。
- 预防漏洞利用,保护内存。
- 网络分区。
- 追踪并监控全部网络资源与访问活动。
- 网络防火墙的安装与维护。
- 网络层DoS保护。
- 用户身份验证。
- 在访问应用程序与数据时进行授权控制。
- 面向一切应用程序与数据访问活动,对审计追踪进行记录与维护。
- 部署应用层防火墙以进行事件-数据检查。
无服务器(FaaS):云服务供应商与客户
无服务器:安全责任;
无服务器云服务供应商责任;
无服务器客户责任;
在立足无服务器架构进行应用程序开发时,如何进行责任划分:
云服务供应商责任
- 物理基础设施,物理边界与硬件的访问限制。
- 基础设施设备与系统的安全配置。
- 定期对全部系统/进程(操作系统、服务等)的安全性进行测试。
- 发现并认证对系统(操作系统、服务等)的访问活动。
- 对操作系统内的安全缺陷进行补丁安装与修复。
- 强化操作系统与服务。
- 保护全部系统免受恶意软件与后门的影响。
- 对运行时环境以及相关软件工具包内的安全缺陷进行补丁安装与修复。
- 预防漏洞利用,保护内存。
- 网络分区。
- 追踪并监控全部网络资源与访问活动。
- 网络防火墙的安装与维护。
- 网络层DoS保护。
客户责任
- 用户身份验证。
- 在访问应用程序与数据时进行授权控制。
- 面向一切应用程序与数据访问活动,对审计追踪进行记录与维护。
- 部署应用层防火墙以进行事件-数据检查。
- 检测并修复第三方依赖关系当中的安全漏洞。
- 使用最低权限IAM角色与权限设置。
- 强制实施合法的应用程序行为。
- 数据泄露防护。
- 在开发过程中以静态方式扫描代码与配置。
- 维护无服务器/云资产清单。
- 移除陈旧/未使用的云服务与函数。
- 持续监控错误与安全事故。
FaaS还是SaaS?
很明显,各项任务与要求并非一一对等,以上提到的一部分任务与要求,显然要比其它任务与要求占用更多资源与预算。但这仅仅是一份对比参考,如果您不同意这个方法或者结论,也请在评论中分享您的真知灼见。
0赞好文章,需要你的鼓励
推荐文章
从智能搜索到无缝医疗:AI 将如何改变 2025 年的体验
到 2025 年,人工智能将在生命科学行业带来重大变革。从智能搜索到无缝医疗服务,AI 将优化医疗专业人员和患者的体验。文章预测了 AI 在监管、安全、搜索、个性化服务等方面的具体应用,以及行业技术格局的变化。这些创新将为患者和医疗专业人员带来更高效、更有针对性的服务。
TenneT 在北海部署海上光纤网络以提升输出能力
TenneT 携手诺基亚在北海部署光纤网络,连接海上风电场,助力可再生能源增产。该项目将采用先进光网络技术,支持远程监控和管理,确保可靠的能源传输。这一创新模式有望推动欧洲能源转型,为实现 2050 年气候中和目标做出重要贡献。
联想携手新加坡圣淘沙物流打造智能仓储
新加坡物流公司ST Logistics与联想合作,通过新的仓库执行系统和AI算法自动化关键流程。该系统优化货物移动,自动规划最快捷安全的运输路线,加快订单处理。联想的高性能计算系统和AI算法还将优化货物存储,提高即时发货物品的可访问性。这一合作旨在提升供应链效率,增强新加坡在区域竞争力。
Coldago 发布三份文件存储供应商评估图谱
研究机构 Coldago 针对不同文件存储应用场景,发布了三份独立的供应商评估报告。报告采用四象限图形式,将供应商分为企业级文件存储、高性能文件存储和云文件存储三类。这种分类方法与 GigaOm 的圆形四象限雷达图有所不同,体现了两家分析机构对文件存储市场的不同见解。
2019
02/07
20:55
分享
点赞
京公网安备 11010802021500号 京网文(2021)3350-928号 京字第20868号
