/
云安全新形态:函数即服务(FaaS)对阵基础设施即服务(IaaS)
至顶网安全频道 02月07日 编译:安全性的责任应该由云服务供应商与客户共同承担。这种责任分摊模式有助于减轻客户的运营负担,因为云服务供应商将承担起从主机操作系统到虚拟化层,再到运行组件所必需的设施物理安全性等层面的一切运营、管理与控制职能。
就在不久之前,当向基础设施即服务(简称IaaS)平台部署应用程序时,客户还仍然需要承担操作系统的管理与运营责任,包括更新与安全补丁安装、应用程序软件关联以及云端网络防火墙配置等等。在虚拟实例方面,客户有责任认真考量他们所选择的服务选项,确保所使用的服务与其实际需求相匹配,将这些服务与IT环境整合起来并遵循适用的法律法规要求。
但随着无服务器计算(亦被称为函数即服务,简称FaaS)的出现,安全性的天秤进一步朝着云服务供应商倾斜,这意味着组织能够更多将这部分任务移交给供应商并进一步专注于自己的核心业务。然而,通过将安全责任转移到云端,企业到底能够获得多少收益?在今天的文章中,我们将用简单的比对聊聊这个问题。
核心要求:从物理层面到应用层的安全性保障
以下条目遵循自下而上的顺序,我们将从物理安全性开始,一路上升至应用层。
- 物理基础设施,物理边界与硬件的访问限制。
- 基础设施设备与系统的安全配置。
- 定期对全部系统/进程(操作系统、服务等)的安全性进行测试。
- 发现并认证对系统(操作系统、服务等)的访问活动。
- 对操作系统内的安全缺陷进行补丁安装与修复。
- 强化操作系统与服务。
- 保护全部系统免受恶意软件与后门的影响。
- 对运行时环境以及相关软件工具包内的安全缺陷进行补丁安装与修复。
- 预防漏洞利用,保护内存。
- 网络分区。
- 追踪并监控全部网络资源与访问活动。
- 网络防火墙的安装与维护。
- 网络层DoS保护。
- 用户身份验证。
- 在访问应用程序与数据时进行授权控制。
- 面向一切应用程序与数据访问活动,对审计追踪进行记录与维护。
- 部署应用层防火墙以进行事件-数据检查。
- 检测并修复第三方依赖关系当中的安全漏洞。
- 使用最低权限IAM角色与权限设置。
- 强制实施合法的应用程序行为。
- 数据泄露防护。
- 在开发过程中以静态方式扫描代码与配置。
- 维护无服务器/云资产清单。
- 移除陈旧/未使用的云服务与函数。
- 持续监控错误与安全事故。
IaaS:服务供应商与客户
IaaS:安全责任;
云服务供应商责任;
客户责任;
在IaaS上开发应用程序时,安全责任大致包含以下几种:
云服务供应商责任
- 物理基础设施,物理边界与硬件的访问限制。
- 保护基础设施设备与系统的配置。
客户责任
- 定期对全部系统/进程(操作系统、服务等)的安全性进行测试。
- 发现并认证对系统(操作系统、服务等)的访问活动。
- 对操作系统内的安全缺陷进行补丁安装与修复。
- 强化操作系统与服务。
- 保护全部系统免受恶意软件与后门的影响。
- 对运行时环境以及相关软件工具包内的安全缺陷进行补丁安装与修复。
- 预防漏洞利用,保护内存。
- 网络分区。
- 追踪并监控全部网络资源与访问活动。
- 网络防火墙的安装与维护。
- 网络层DoS保护。
- 用户身份验证。
- 在访问应用程序与数据时进行授权控制。
- 面向一切应用程序与数据访问活动,对审计追踪进行记录与维护。
- 部署应用层防火墙以进行事件-数据检查。
无服务器(FaaS):云服务供应商与客户
无服务器:安全责任;
无服务器云服务供应商责任;
无服务器客户责任;
在立足无服务器架构进行应用程序开发时,如何进行责任划分:
云服务供应商责任
- 物理基础设施,物理边界与硬件的访问限制。
- 基础设施设备与系统的安全配置。
- 定期对全部系统/进程(操作系统、服务等)的安全性进行测试。
- 发现并认证对系统(操作系统、服务等)的访问活动。
- 对操作系统内的安全缺陷进行补丁安装与修复。
- 强化操作系统与服务。
- 保护全部系统免受恶意软件与后门的影响。
- 对运行时环境以及相关软件工具包内的安全缺陷进行补丁安装与修复。
- 预防漏洞利用,保护内存。
- 网络分区。
- 追踪并监控全部网络资源与访问活动。
- 网络防火墙的安装与维护。
- 网络层DoS保护。
客户责任
- 用户身份验证。
- 在访问应用程序与数据时进行授权控制。
- 面向一切应用程序与数据访问活动,对审计追踪进行记录与维护。
- 部署应用层防火墙以进行事件-数据检查。
- 检测并修复第三方依赖关系当中的安全漏洞。
- 使用最低权限IAM角色与权限设置。
- 强制实施合法的应用程序行为。
- 数据泄露防护。
- 在开发过程中以静态方式扫描代码与配置。
- 维护无服务器/云资产清单。
- 移除陈旧/未使用的云服务与函数。
- 持续监控错误与安全事故。
FaaS还是SaaS?
很明显,各项任务与要求并非一一对等,以上提到的一部分任务与要求,显然要比其它任务与要求占用更多资源与预算。但这仅仅是一份对比参考,如果您不同意这个方法或者结论,也请在评论中分享您的真知灼见。
0赞好文章,需要你的鼓励
推荐文章
从青山竹海到全球客厅:中国家具的跨境新航线
从浙江安吉的桌椅,到广东佛山的沙发床垫、河南洛阳的钢制家具,再到福建福州的竹藤制品,中国各大高度专业化的家具产业带,都在不约而同地探索各自的数字化出海路径。
哥伦比亚大学揭秘AI数学能力新测试法:用“频率指纹“看透AI的数学思维盲点
哥伦比亚大学研究团队开发了MathBode动态诊断工具,通过让数学题参数按正弦波变化来测试AI的动态推理能力。研究发现传统静态测试掩盖了AI的重要缺陷:几乎所有模型都表现出低通滤波特征和相位滞后现象,即在处理快速变化时会出现失真和延迟。该方法覆盖五个数学家族的测试,为AI模型选择和部署提供了新的评估维度。
AI智能体能否帮助决定患者生死?
研究人员正探索AI能否预测昏迷患者的医疗意愿,帮助医生做出生死决策。华盛顿大学研究员Ahmad正推进首个AI代理人试点项目,通过分析患者医疗数据预测其偏好。虽然准确率可达三分之二,但专家担心AI无法捕捉患者价值观的复杂性和动态变化。医生强调AI只能作为辅助工具,不应替代人类代理人,因为生死决策依赖具体情境且充满伦理挑战。
港中文(深圳)发布新突破:让AI推理模型学会“自我纠错“,告别思维雪球效应
这项研究首次发现AI推理模型存在"雪球效应"问题——推理过程中的小错误会逐步放大,导致AI要么给出危险回答,要么过度拒绝正常请求。研究团队提出AdvChain方法,通过训练AI学习"错误-纠正"过程来获得自我纠错能力。实验显示该方法显著提升了AI的安全性和实用性,用1000个样本达到了传统方法15000个样本的效果,为AI安全训练开辟了新方向。
2019
02/07
20:55
分享
点赞
京公网安备 11010802021500号 京网文(2025) 0096-033号 京字第20868号
