借助Microsoft Azure 提供的無服務(wù)器平臺Azure功能,開發(fā)人員可以簡單地部署代碼來運(yùn)行作業(yè),而無需了解底層基礎(chǔ)設(shè)施或操作系統(tǒng)���。Azure功能平臺負(fù)責(zé)管理部署環(huán)境,智能響應(yīng)潛在事件���,例如消息隊(duì)列中的數(shù)據(jù)或數(shù)據(jù)流中的更改。
云共享責(zé)任模型
云計(jì)算允許公司將托管和維護(hù)其底層基礎(chǔ)設(shè)施的責(zé)任外包給第三方云服務(wù)提供商���。這使公司能夠利用云的各種優(yōu)勢,并將保護(hù)此底層基礎(chǔ)設(shè)施的責(zé)任移交給云提供商���。
然而,在云共享責(zé)任模型下�����,云提供商并不對客戶的云部署承擔(dān)全部責(zé)任�。根據(jù)所使用的云模型(SaaS、IaaS���、PaaS 等)�,客戶可以訪問和控制其云基礎(chǔ)架構(gòu)堆棧的某些級別。除了配置和維護(hù)這些級別之外���,客戶還負(fù)責(zé)充分保護(hù)它們���。
什么是無服務(wù)器安全�?
充分利用云計(jì)算的優(yōu)勢需要部署云原生解決方案�。無服務(wù)器應(yīng)用程序(例如Azure功能)在云提供商管理整個(gè)基礎(chǔ)架構(gòu)堆棧而不是客戶的環(huán)境中運(yùn)行,從而為開發(fā)人員創(chuàng)建一個(gè)托管環(huán)境以在其中部署和執(zhí)行代碼。
無服務(wù)器功能和環(huán)境的設(shè)計(jì)會帶來獨(dú)特的安全風(fēng)險(xiǎn)���。例如,無服務(wù)器功能是僅在響應(yīng)特定事件時(shí)才處于活動狀態(tài)的應(yīng)用程序,因此很難使用傳統(tǒng)的安全解決方案對其進(jìn)行有效監(jiān)控。無服務(wù)器安全性提供針對Azure功能和其他無服務(wù)器應(yīng)用程序的獨(dú)特需求和安全挑戰(zhàn)量身定制的安全性�。
Azure功能安全性的重要性
隨著公司更全面地采用 Microsoft Azure���,可能已經(jīng)“提升和轉(zhuǎn)移”的遺留應(yīng)用程序可能會被重新設(shè)計(jì)為云原生無服務(wù)器應(yīng)用程序�����,而新的開發(fā)將充分利用無服務(wù)器生態(tài)系統(tǒng)。因此���,一家公司將擁有越來越多的無服務(wù)器應(yīng)用程序。
這些應(yīng)用程序可能會訪問敏感信息并實(shí)施組織 IT 解決方案的核心組件�。實(shí)施強(qiáng)大的Azure功能安全性對于防止數(shù)據(jù)泄露���、關(guān)鍵服務(wù)中斷以及對組織運(yùn)營的其他潛在威脅至關(guān)重要�。
Azure功能安全最佳實(shí)踐
Azure功能等無服務(wù)器應(yīng)用程序面臨許多與非無服務(wù)器應(yīng)用程序相同的安全威脅�����。但是�����,無服務(wù)器功能也具有獨(dú)特的安全風(fēng)險(xiǎn)和管理它們的最佳實(shí)踐�����。
其中一些最佳實(shí)踐包括:
驗(yàn)證不受信任的輸入:注入攻擊是對應(yīng)用程序安全的最大威脅之一���,這些漏洞的存在是因?yàn)閼?yīng)用程序?qū)Σ皇苄湃蔚妮斎胱龀黾僭O(shè)而不強(qiáng)制執(zhí)行�����。在處理輸入之前驗(yàn)證輸入可以保護(hù)Azure功能和其他應(yīng)用程序免受注入攻擊。
實(shí)施最低權(quán)限:如果Azure功能存在可利用的漏洞,則攻擊者可能會利用此漏洞訪問敏感數(shù)據(jù)或其他企業(yè) IT 資產(chǎn)。將Azure功能的訪問權(quán)限限制為僅對其角色所需的訪問權(quán)限有助于最大限度地減少應(yīng)用程序受到攻擊或其他問題的影響�。
管理供應(yīng)鏈風(fēng)險(xiǎn):應(yīng)用程序通常依賴于各種第三方庫和其他外部依賴項(xiàng)���,其中可能包含可被攻擊者利用的漏洞�����。監(jiān)視安全更新的依賴項(xiàng)并及時(shí)安裝它們對于維護(hù)依賴它們的應(yīng)用程序的安全性至關(guān)重要。
安全的云存儲:Azure功能通常是無狀態(tài)的�����,依賴云存儲來維護(hù)重要的狀態(tài)數(shù)據(jù)�;然而,云數(shù)據(jù)安全是組織面臨的共同挑戰(zhàn)�。限制對云數(shù)據(jù)存儲的訪問對于無服務(wù)器函數(shù)數(shù)據(jù)的機(jī)密性�、完整性和可用性至關(guān)重要���。
保護(hù)函數(shù)機(jī)密:Azure功能可能需要訪問機(jī)密信息�,例如加密密鑰、API 密鑰和其他數(shù)據(jù)�。這些數(shù)據(jù)必須安全存儲���,而不是放置在攻擊者可能訪問的明文配置文件或環(huán)境變量中。
實(shí)施零信任安全:無服務(wù)器應(yīng)用程序旨在相互連接�����。由于一些可能是面向公眾的�����,而另一些可能會訪問關(guān)鍵數(shù)據(jù)和功能�����,因此薄弱的身份驗(yàn)證和訪問管理實(shí)踐可能會使關(guān)鍵功能容易受到攻擊�。應(yīng)在零信任模型下實(shí)施身份驗(yàn)證和授權(quán)�����,在該模型中���,每個(gè)訪問請求都會根據(jù)最低權(quán)限訪問控制進(jìn)行審查和批準(zhǔn)或拒絕�����。
網(wǎng)站資訊
解決方案
關(guān)于我們
