云安全新形态:函数即服务(FaaS)对阵基础设施即服务(IaaS)
安全性的责任应该由云服务供应商与客户共同承担。这种责任分摊模式有助于减轻客户的运营负担,因为云服务供应商将承担起从主机操作系统到虚拟化层,再到运行组件所必需的设施物理安全性等层面的一切运营、管理与控制职能。
至顶网安全频道 02月07日 编译:安全性的责任应该由云服务供应商与客户共同承担。这种责任分摊模式有助于减轻客户的运营负担,因为云服务供应商将承担起从主机操作系统到虚拟化层,再到运行组件所必需的设施物理安全性等层面的一切运营、管理与控制职能。
就在不久之前,当向基础设施即服务(简称IaaS)平台部署应用程序时,客户还仍然需要承担操作系统的管理与运营责任,包括更新与安全补丁安装、应用程序软件关联以及云端网络防火墙配置等等。在虚拟实例方面,客户有责任认真考量他们所选择的服务选项,确保所使用的服务与其实际需求相匹配,将这些服务与IT环境整合起来并遵循适用的法律法规要求。
但随着无服务器计算(亦被称为函数即服务,简称FaaS)的出现,安全性的天秤进一步朝着云服务供应商倾斜,这意味着组织能够更多将这部分任务移交给供应商并进一步专注于自己的核心业务。然而,通过将安全责任转移到云端,企业到底能够获得多少收益?在今天的文章中,我们将用简单的比对聊聊这个问题。
核心要求:从物理层面到应用层的安全性保障
以下条目遵循自下而上的顺序,我们将从物理安全性开始,一路上升至应用层。
- 物理基础设施,物理边界与硬件的访问限制。
- 基础设施设备与系统的安全配置。
- 定期对全部系统/进程(操作系统、服务等)的安全性进行测试。
- 发现并认证对系统(操作系统、服务等)的访问活动。
- 对操作系统内的安全缺陷进行补丁安装与修复。
- 强化操作系统与服务。
- 保护全部系统免受恶意软件与后门的影响。
- 对运行时环境以及相关软件工具包内的安全缺陷进行补丁安装与修复。
- 预防漏洞利用,保护内存。
- 网络分区。
- 追踪并监控全部网络资源与访问活动。
- 网络防火墙的安装与维护。
- 网络层DoS保护。
- 用户身份验证。
- 在访问应用程序与数据时进行授权控制。
- 面向一切应用程序与数据访问活动,对审计追踪进行记录与维护。
- 部署应用层防火墙以进行事件-数据检查。
- 检测并修复第三方依赖关系当中的安全漏洞。
- 使用最低权限IAM角色与权限设置。
- 强制实施合法的应用程序行为。
- 数据泄露防护。
- 在开发过程中以静态方式扫描代码与配置。
- 维护无服务器/云资产清单。
- 移除陈旧/未使用的云服务与函数。
- 持续监控错误与安全事故。
IaaS:服务供应商与客户

IaaS:安全责任;
云服务供应商责任;
客户责任;
在IaaS上开发应用程序时,安全责任大致包含以下几种:
云服务供应商责任
- 物理基础设施,物理边界与硬件的访问限制。
- 保护基础设施设备与系统的配置。
客户责任
- 定期对全部系统/进程(操作系统、服务等)的安全性进行测试。
- 发现并认证对系统(操作系统、服务等)的访问活动。
- 对操作系统内的安全缺陷进行补丁安装与修复。
- 强化操作系统与服务。
- 保护全部系统免受恶意软件与后门的影响。
- 对运行时环境以及相关软件工具包内的安全缺陷进行补丁安装与修复。
- 预防漏洞利用,保护内存。
- 网络分区。
- 追踪并监控全部网络资源与访问活动。
- 网络防火墙的安装与维护。
- 网络层DoS保护。
- 用户身份验证。
- 在访问应用程序与数据时进行授权控制。
- 面向一切应用程序与数据访问活动,对审计追踪进行记录与维护。
- 部署应用层防火墙以进行事件-数据检查。
无服务器(FaaS):云服务供应商与客户

无服务器:安全责任;
无服务器云服务供应商责任;
无服务器客户责任;
在立足无服务器架构进行应用程序开发时,如何进行责任划分:
云服务供应商责任
- 物理基础设施,物理边界与硬件的访问限制。
- 基础设施设备与系统的安全配置。
- 定期对全部系统/进程(操作系统、服务等)的安全性进行测试。
- 发现并认证对系统(操作系统、服务等)的访问活动。
- 对操作系统内的安全缺陷进行补丁安装与修复。
- 强化操作系统与服务。
- 保护全部系统免受恶意软件与后门的影响。
- 对运行时环境以及相关软件工具包内的安全缺陷进行补丁安装与修复。
- 预防漏洞利用,保护内存。
- 网络分区。
- 追踪并监控全部网络资源与访问活动。
- 网络防火墙的安装与维护。
- 网络层DoS保护。
客户责任
- 用户身份验证。
- 在访问应用程序与数据时进行授权控制。
- 面向一切应用程序与数据访问活动,对审计追踪进行记录与维护。
- 部署应用层防火墙以进行事件-数据检查。
- 检测并修复第三方依赖关系当中的安全漏洞。
- 使用最低权限IAM角色与权限设置。
- 强制实施合法的应用程序行为。
- 数据泄露防护。
- 在开发过程中以静态方式扫描代码与配置。
- 维护无服务器/云资产清单。
- 移除陈旧/未使用的云服务与函数。
- 持续监控错误与安全事故。
FaaS还是SaaS?
很明显,各项任务与要求并非一一对等,以上提到的一部分任务与要求,显然要比其它任务与要求占用更多资源与预算。但这仅仅是一份对比参考,如果您不同意这个方法或者结论,也请在评论中分享您的真知灼见。
0赞好文章,需要你的鼓励
推荐文章
分析1000篇论文后,牛津大学团队发现AI的思考过程不可信
南洋理工大学研究团队开发了WorldMem框架,首次让AI拥有真正的长期记忆能力,解决了虚拟世界模拟中的一致性问题。该系统通过记忆银行存储历史场景,并使用智能检索机制,让AI能准确重现之前的场景和事件,即使间隔很长时间。实验显示在Minecraft和真实场景中都表现出色,为游戏、自动驾驶、机器人等领域带来广阔应用前景。
AWS通过升级SageMaker机器学习平台来扩展市场地位,新增观测能力、连接式编码环境和GPU集群性能管理功能。面对谷歌和微软的激烈竞争,AWS专注于为企业提供AI基础设施支撑。SageMaker新功能包括深入洞察模型性能下降原因、为开发者提供更多计算资源控制权,以及支持本地IDE连接部署。这些更新主要源于客户需求,旨在解决AI模型开发中的实际问题。
MTS AI研究团队提出RewardRanker系统,通过重排序模型和迭代自训练显著提升AI代码生成质量。该方法让13.4B参数模型超越33B大模型,在多种编程语言上表现优异,甚至在C++上超越GPT-4。通过引入困难负样本和PPO优化,系统能从多个代码候选中选出最优方案,为AI编程助手的实用化奠定基础。