云安全新形态：函数即服务（FaaS）对阵基础设施即服务（IaaS）

至顶网安全频道 02月07日 编译：安全性的责任应该由云服务供应商与客户共同承担。这种责任分摊模式有助于减轻客户的运营负担，因为云服务供应商将承担起从主机操作系统到虚拟化层，再到运行组件所必需的设施物理安全性等层面的一切运营、管理与控制职能。

就在不久之前，当向基础设施即服务（简称IaaS）平台部署应用程序时，客户还仍然需要承担操作系统的管理与运营责任，包括更新与安全补丁安装、应用程序软件关联以及云端网络防火墙配置等等。在虚拟实例方面，客户有责任认真考量他们所选择的服务选项，确保所使用的服务与其实际需求相匹配，将这些服务与IT环境整合起来并遵循适用的法律法规要求。

但随着无服务器计算（亦被称为函数即服务，简称FaaS）的出现，安全性的天秤进一步朝着云服务供应商倾斜，这意味着组织能够更多将这部分任务移交给供应商并进一步专注于自己的核心业务。然而，通过将安全责任转移到云端，企业到底能够获得多少收益？在今天的文章中，我们将用简单的比对聊聊这个问题。

核心要求：从物理层面到应用层的安全性保障

以下条目遵循自下而上的顺序，我们将从物理安全性开始，一路上升至应用层。

• 物理基础设施，物理边界与硬件的访问限制。
• 基础设施设备与系统的安全配置。
• 定期对全部系统/进程（操作系统、服务等）的安全性进行测试。
• 发现并认证对系统（操作系统、服务等）的访问活动。
• 对操作系统内的安全缺陷进行补丁安装与修复。
• 强化操作系统与服务。
• 保护全部系统免受恶意软件与后门的影响。
• 对运行时环境以及相关软件工具包内的安全缺陷进行补丁安装与修复。
• 预防漏洞利用，保护内存。
• 网络分区。
• 追踪并监控全部网络资源与访问活动。
• 网络防火墙的安装与维护。
• 网络层DoS保护。
• 用户身份验证。
• 在访问应用程序与数据时进行授权控制。
• 面向一切应用程序与数据访问活动，对审计追踪进行记录与维护。
• 部署应用层防火墙以进行事件-数据检查。
• 检测并修复第三方依赖关系当中的安全漏洞。
• 使用最低权限IAM角色与权限设置。
• 强制实施合法的应用程序行为。
• 数据泄露防护。
• 在开发过程中以静态方式扫描代码与配置。
• 维护无服务器/云资产清单。
• 移除陈旧/未使用的云服务与函数。
• 持续监控错误与安全事故。

IaaS：服务供应商与客户

IaaS：安全责任;
云服务供应商责任;
客户责任;

在IaaS上开发应用程序时，安全责任大致包含以下几种：

云服务供应商责任

• 物理基础设施，物理边界与硬件的访问限制。
• 保护基础设施设备与系统的配置。

客户责任

• 定期对全部系统/进程（操作系统、服务等）的安全性进行测试。
• 发现并认证对系统（操作系统、服务等）的访问活动。
• 对操作系统内的安全缺陷进行补丁安装与修复。
• 强化操作系统与服务。
• 保护全部系统免受恶意软件与后门的影响。
• 对运行时环境以及相关软件工具包内的安全缺陷进行补丁安装与修复。
• 预防漏洞利用，保护内存。
• 网络分区。
• 追踪并监控全部网络资源与访问活动。
• 网络防火墙的安装与维护。
• 网络层DoS保护。
• 用户身份验证。
• 在访问应用程序与数据时进行授权控制。
• 面向一切应用程序与数据访问活动，对审计追踪进行记录与维护。
• 部署应用层防火墙以进行事件-数据检查。

无服务器（FaaS）：云服务供应商与客户

无服务器：安全责任;
无服务器云服务供应商责任;
无服务器客户责任;

在立足无服务器架构进行应用程序开发时，如何进行责任划分：

云服务供应商责任

• 物理基础设施，物理边界与硬件的访问限制。
• 基础设施设备与系统的安全配置。
• 定期对全部系统/进程（操作系统、服务等）的安全性进行测试。
• 发现并认证对系统（操作系统、服务等）的访问活动。
• 对操作系统内的安全缺陷进行补丁安装与修复。
• 强化操作系统与服务。
• 保护全部系统免受恶意软件与后门的影响。
• 对运行时环境以及相关软件工具包内的安全缺陷进行补丁安装与修复。
• 预防漏洞利用，保护内存。
• 网络分区。
• 追踪并监控全部网络资源与访问活动。
• 网络防火墙的安装与维护。
• 网络层DoS保护。

客户责任

• 用户身份验证。
• 在访问应用程序与数据时进行授权控制。
• 面向一切应用程序与数据访问活动，对审计追踪进行记录与维护。
• 部署应用层防火墙以进行事件-数据检查。
• 检测并修复第三方依赖关系当中的安全漏洞。
• 使用最低权限IAM角色与权限设置。
• 强制实施合法的应用程序行为。
• 数据泄露防护。
• 在开发过程中以静态方式扫描代码与配置。
• 维护无服务器/云资产清单。
• 移除陈旧/未使用的云服务与函数。
• 持续监控错误与安全事故。

FaaS还是SaaS？

很明显，各项任务与要求并非一一对等，以上提到的一部分任务与要求，显然要比其它任务与要求占用更多资源与预算。但这仅仅是一份对比参考，如果您不同意这个方法或者结论，也请在评论中分享您的真知灼见。