亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        云函數(shù)帶來新的安全挑戰(zhàn)

        2018-10-15 09:29:18陳琳華
        計(jì)算機(jī)世界 2018年36期
        關(guān)鍵詞:環(huán)境

        陳琳華

        云函數(shù)或無服務(wù)器應(yīng)用具有體積小、速度快和壽命短等特點(diǎn)。但我們?cè)撊绾未_保它們的安全呢?

        無服務(wù)器應(yīng)用部署在云平臺(tái)上,被設(shè)計(jì)為僅使用任務(wù)所需的計(jì)算資源。它們只在需要時(shí)出現(xiàn),任務(wù)結(jié)束后即消失。如果你希望最大限度地提高性能,同時(shí)將云環(huán)境中的開銷降到最低,那么它們是非常棒的選擇。雖然無服務(wù)器應(yīng)用具有體積小、速度快且壽命短的特點(diǎn),但是它們也給安全團(tuán)隊(duì)帶來了新的挑戰(zhàn)。

        目前,網(wǎng)絡(luò)安全行業(yè)的主要精力仍是全力應(yīng)對(duì)小巧且易于部署的容器所帶來的安全挑戰(zhàn)。由于許多容器可以在單個(gè)虛擬機(jī)中運(yùn)行,彼此間相隔離,所以它們比以前的應(yīng)用部署選項(xiàng)更加便宜且更加靈活。

        容器與無服務(wù)器應(yīng)用(也被稱為云函數(shù))或是亞馬遜Lambda函數(shù)沒有什么關(guān)系。亞馬遜和IBM于2014年發(fā)布了首個(gè)云函數(shù)計(jì)算服務(wù),隨后谷歌和微軟在2016年也推出了自己的相應(yīng)服務(wù)。與容器相比,云函數(shù)更小、更輕,甚至壽命也更短。這導(dǎo)致安全團(tuán)隊(duì)也更難以確保它們的安全。

        至少在容器中還能安裝主要應(yīng)用和一些安全軟件,如日志記錄或惡意軟件保護(hù)工具。但是在云函數(shù)中只有一個(gè)函數(shù),不能安裝其他東西。我們只能在云端運(yùn)行幾行代碼。與任何新技術(shù)一樣,無服務(wù)器應(yīng)用的安全性也是在事后才被考慮到。許多開發(fā)人員盲目地認(rèn)為基礎(chǔ)設(shè)施提供商會(huì)確保云函數(shù)的安全。

        風(fēng)險(xiǎn)不明且缺乏相關(guān)的專業(yè)知識(shí)

        Eastwind Networks首席安全和戰(zhàn)略官Robert Huber指出,目前缺乏無服務(wù)器安全專業(yè)知識(shí)的不僅僅是企業(yè)開發(fā)團(tuán)隊(duì),整個(gè)行業(yè)也是如此。他說:“很少有網(wǎng)絡(luò)安全專業(yè)人員能夠從技術(shù)層面理解微服務(wù)和云計(jì)算。更令人不安的是,大多數(shù)組織機(jī)構(gòu)沒有專門的網(wǎng)絡(luò)專業(yè)人員,而通常這些網(wǎng)絡(luò)專業(yè)人員都具備可降低環(huán)境中風(fēng)險(xiǎn)的必備技能?,F(xiàn)在又出現(xiàn)了無服務(wù)器應(yīng)用。”

        Huber還指出,關(guān)于這一新技術(shù)所面臨的全部網(wǎng)絡(luò)風(fēng)險(xiǎn),目前還沒有可靠信息,而來自安全廠商的支持也是非常不成熟的。因此企業(yè)在考慮無服務(wù)器的投資回報(bào)率時(shí)應(yīng)當(dāng)保持謹(jǐn)慎。

        雖然安全軟件商邁克菲稱,無服務(wù)器架構(gòu)可以將某些操作的成本降低十倍,但是這一評(píng)估是在全面了解安全風(fēng)險(xiǎn)之前做出的。邁克菲也指出,無服務(wù)器應(yīng)用的靈活計(jì)費(fèi)模式本身就是一種安全風(fēng)險(xiǎn)。因?yàn)閼?yīng)用會(huì)很自然地根據(jù)流量進(jìn)行擴(kuò)展和計(jì)費(fèi),所以分布式拒絕服務(wù)(DDoS)攻擊會(huì)觸及這一重要問題。

        可快速大規(guī)模部署的小型函數(shù)在數(shù)量上正變得越來越多,并且會(huì)在網(wǎng)絡(luò)中彼此通信,這也導(dǎo)致攻擊面變得越來越大,這就成了一個(gè)嚴(yán)重的問題。邁克菲認(rèn)為,無服務(wù)器應(yīng)用將成為2018年新五大威脅之一。

        無服務(wù)器安全陷阱

        決定冒險(xiǎn)的企業(yè)應(yīng)該留意潛在的盲點(diǎn)。Aqua Security的聯(lián)合創(chuàng)始人兼首席技術(shù)官Amir Jerbi說:“我們看到了一個(gè)巨大的教育差距,尤其是對(duì)那些剛剛開始嘗試這一新技術(shù)的公司而言?!?/p>

        借助無服務(wù)器基礎(chǔ)設(shè)施架構(gòu),云服務(wù)提供商可以處理所有的環(huán)境安全問題。客戶只需帶上他們的應(yīng)用程序。這乍一聽似乎無服務(wù)器是安全領(lǐng)域向前邁出的一大步,但企業(yè)需要了解基礎(chǔ)設(shè)施提供商負(fù)責(zé)的范圍,以及如何充分利用所有的安全功能,例如人員如何被授權(quán)在他們的付費(fèi)賬戶中啟用新的函數(shù)以及可以對(duì)哪些東西進(jìn)行監(jiān)控。

        Jerbi表示:“他們需要了解如何限制訪問,能夠獲得哪些原生工具,以及自己缺少什么??傮w而言,由于轉(zhuǎn)向無服務(wù)器函數(shù),網(wǎng)絡(luò)安全應(yīng)該會(huì)得到改善,因?yàn)榛A(chǔ)設(shè)施提供商可以完全控制環(huán)境,并且可以為用戶提供大量安全保護(hù)。你自己的團(tuán)隊(duì)不再需要知道如何處理它們。”

        云提供商將強(qiáng)化環(huán)境,確保所有東西都是最新和最安全的版本,以及所有補(bǔ)丁均已被打上。倫敦?cái)?shù)字自動(dòng)化信息公司Eggplant的首席技術(shù)官Antony Edwards說:“無服務(wù)器幾乎消除了目前入侵的主要渠道——未打補(bǔ)丁的服務(wù)器。這些服務(wù)器正在使用具有已知漏洞的二進(jìn)制文件,因?yàn)樗鼈儧]有對(duì)相關(guān)漏洞進(jìn)行最新的安全更新。目前大多數(shù)情況下,絕大多數(shù)的成功入侵都與已知漏洞有關(guān)?!?/p>

        極大的靈活性帶來了巨大的責(zé)任

        無服務(wù)器應(yīng)用或云函數(shù)可以在極短的時(shí)間內(nèi)出現(xiàn)和消失,應(yīng)用可以平穩(wěn)且經(jīng)濟(jì)高效地?cái)U(kuò)展。Edwards說,它們非常適合那些圍繞微服務(wù)構(gòu)建起來的應(yīng)用。不幸的是,它們也為企圖濫用這些應(yīng)用的攻擊者提供了更多的機(jī)會(huì)。

        由于開發(fā)人員不需要擔(dān)心底層基礎(chǔ)架構(gòu),因此他們會(huì)在沒有傳統(tǒng)安全審查流程的情況下快速推出應(yīng)用,這導(dǎo)致應(yīng)用本身可能會(huì)出現(xiàn)更多漏洞。由于無服務(wù)器應(yīng)用是小型的獨(dú)立函數(shù),所以攻擊者有更多機(jī)會(huì)嘗試提升權(quán)限或利用未妥善管理的應(yīng)用程序相關(guān)性。此外,攻擊者還可以利用竊取的證書獲得數(shù)據(jù)的訪問權(quán)。

        開發(fā)人員應(yīng)確保數(shù)據(jù)庫(kù)訪問有嚴(yán)格的限制措施。Edwards說:“要避免人人都能訪問你的數(shù)據(jù)庫(kù),甚至是讀取訪問權(quán)限,取而代之的是只將訪問權(quán)限給予最需要它們的人和系統(tǒng)?!?/p>

        另一方面,無服務(wù)器應(yīng)用允許更為精細(xì)的管理,因此開發(fā)人員可以更為精準(zhǔn)地定制訪問控制權(quán)。云安全公司Edgewise Networks的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Peter Smith認(rèn)為,如何管理是開發(fā)人員轉(zhuǎn)向無服務(wù)器應(yīng)用時(shí)遇到的最大挑戰(zhàn)。他說:“控制這些服務(wù)之間的相互訪問是一項(xiàng)重大挑戰(zhàn),需要一種新的訪問管理模式?!?/p>

        這個(gè)問題的影響范圍有多大呢?答案是相當(dāng)大。據(jù)無服務(wù)器安全公司PureSec在4月份發(fā)布的報(bào)告顯示,21%的開源無服務(wù)器項(xiàng)目至少有一個(gè)嚴(yán)重漏洞或配置錯(cuò)誤,6%存在諸如在公開訪問位置存放API密鑰的問題。該公司認(rèn)為,目前存在的五大主要問題是數(shù)據(jù)注入、認(rèn)證失效、不安全配置、權(quán)限過高和監(jiān)控不足。

        這對(duì)人類來說可能是一個(gè)極大的挑戰(zhàn),以至于根本無法處理。這時(shí)可能需要大規(guī)模利用人工智能(AI)進(jìn)行處理。Smith說:“新的方法可以通過使用機(jī)器學(xué)習(xí)分析無服務(wù)器組件相關(guān)性來限制攻擊面,以及通過自動(dòng)生成最低網(wǎng)絡(luò)控制來降低風(fēng)險(xiǎn)。”以采用自動(dòng)化和可擴(kuò)展的方式實(shí)現(xiàn)只在可信的組件之間進(jìn)行必要的訪問。

        除了信任,還需要驗(yàn)證

        所有主要的云提供商現(xiàn)在都有無服務(wù)器產(chǎn)品。其中,如亞馬遜的AWS Lambda函數(shù)、微軟的Azure函數(shù),谷歌和IBM的Cloud Functions。

        盡管產(chǎn)品眾多,但是用戶無法一直準(zhǔn)確地知道底層基礎(chǔ)設(shè)施架構(gòu)是什么,它是如何工作的,以及如何確保安全。在某種程度上,這是廠商故意為之。如果公眾能夠訪問這些信息,那么對(duì)于黑客來說也是如此。這也意味著企業(yè)必須要對(duì)許多東西采取信任的態(tài)度。

        Kudelski Security解決方案架構(gòu)主管Bo Lane稱,理論上,無服務(wù)器函數(shù)運(yùn)行在孤立的環(huán)境中,但是它們?nèi)匀皇桥c多個(gè)客戶共享的硬件和計(jì)算環(huán)境。另外,客戶不能在該環(huán)境中安裝自己的安全工具,這就造成了嚴(yán)重的限制。Lane問道:“你如何監(jiān)視函數(shù)中的輸入和輸出?你如何監(jiān)控正在進(jìn)行的惡意活動(dòng)?你需要在本地環(huán)境或虛擬機(jī)上部署許多工具,但是又無法部署這些工具。企業(yè)客戶需要了解基礎(chǔ)設(shè)施提供商能夠提供哪些工具?!?/p>

        另一種選擇是使用像Apache OpenWhisk這樣的平臺(tái)創(chuàng)建自己的無服務(wù)器環(huán)境。事實(shí)上,這是IBM云函數(shù)解決方案 Bluemix OpenWhisk所基于的平臺(tái)。其他的選項(xiàng)還包括Fission、IronFunctions和Gestalt。

        企業(yè)也可以從內(nèi)部監(jiān)控函數(shù)的性能。例如,專注于應(yīng)用層的安全廠商FairWarning的創(chuàng)始人兼首席執(zhí)行官Kurt Long說:“我們會(huì)在應(yīng)用內(nèi)部設(shè)置審計(jì)函數(shù)。如果是自研應(yīng)用程序,那么它們會(huì)有審計(jì)跟蹤。”

        所有的基本要素仍然適用,不管應(yīng)用如何部署。他說:“在無服務(wù)器應(yīng)用中,仍然有數(shù)據(jù)需要保護(hù),仍然有業(yè)務(wù)功能需要實(shí)現(xiàn),人們也必須要訪問服務(wù)。有些事情不會(huì)改變?!?/p>

        從應(yīng)用首次構(gòu)建時(shí)就開始建立安全性比任何時(shí)候都更加重要。紅帽JBoss的工程副總裁兼首席技術(shù)官M(fèi)ark Little表示:“安全性不應(yīng)該在應(yīng)用開發(fā)完成后才考慮?!比欢趯?shí)踐中,目前還沒有關(guān)于基礎(chǔ)設(shè)施漏洞的具體信息,也不清楚應(yīng)用安全性隨著向無服務(wù)器應(yīng)用的過渡會(huì)變得更好還是更糟。Little說:“函數(shù)即服務(wù)目前正在被過度炒作。“開發(fā)人員對(duì)使用它們很感興趣。對(duì)于開發(fā)人員不斷嘗試這一新技術(shù)或是在生產(chǎn)中使用它們,我們還沒有什么很好的意見?!?/p>

        據(jù)Sumo Logic去年秋季對(duì)1500名運(yùn)行云應(yīng)用的客戶展開的調(diào)查顯示,使用AWS Lamdba的人數(shù)已經(jīng)從2016年的12%增長(zhǎng)至了2017年的23%,翻了近一倍。

        以后的增長(zhǎng)率可能會(huì)出現(xiàn)大幅增長(zhǎng)。據(jù)Cloudability稱,AWS Lambda上無服務(wù)器函數(shù)的增長(zhǎng)率由2017年第一季度的100%激增到了第四季度的667%。它們將很快成為一個(gè)非常龐大且攻擊目標(biāo)豐富的環(huán)境。

        本文作者M(jìn)aria Korolov在過去20年內(nèi)長(zhǎng)期關(guān)注新興技術(shù)和新興市場(chǎng)。

        原文網(wǎng)址

        https://www.csoonline.com/article/3277965/cloud-security/cloud-functions-present-new-security-challenges.html

        猜你喜歡
        環(huán)境
        長(zhǎng)期鍛煉創(chuàng)造體內(nèi)抑癌環(huán)境
        一種用于自主學(xué)習(xí)的虛擬仿真環(huán)境
        孕期遠(yuǎn)離容易致畸的環(huán)境
        不能改變環(huán)境,那就改變心境
        環(huán)境與保護(hù)
        環(huán)境
        孕期遠(yuǎn)離容易致畸的環(huán)境
        高等院校環(huán)境類公選課的實(shí)踐和探討
        掌握“三個(gè)三” 兜底環(huán)境信訪百分百
        我國(guó)環(huán)境會(huì)計(jì)初探
        亚洲国产成人一区二区精品区| 国产人成午夜免电影观看| 永久免费的av在线电影网无码| 亚洲人妻无缓冲av不卡| 国内人妖一区二区在线播放| 所有视频在线观看免费 | 亚洲精品国产亚洲av| 日本不卡的一区二区三区| av免费在线播放一区二区| 成人久久精品人妻一区二区三区| 后入丝袜美腿在线观看| 久久婷婷五月综合色丁香| 国产真人无码作爱视频免费| 伊人久久中文大香线蕉综合 | 亚洲一区二区不卡日韩| 亚洲天堂精品成人影院| 亚洲 自拍 另类小说综合图区| 亚洲精品网站在线观看你懂的| 国产精品一区二区三区精品| 日韩精品一区二区三区影音视频 | 国产黑丝在线| 久久天堂精品一区专区av| 夜夜爽夜夜叫夜夜高潮| 人妻无码aⅴ不卡中文字幕| 在线亚洲AV成人无码一区小说| 亚洲中文有码一区二区| 一区二区精品国产亚洲| 亚洲 精品 综合 精品 自拍| 精品中文字幕久久久人妻| 九色精品国产亚洲av麻豆一| 亚洲处破女av日韩精品中出| 黑人巨大无码中文字幕无码| 妞干网中文字幕| 免费啪啪av人妻一区二区| 狠狠综合久久av一区二区蜜桃| 亚洲精品久久久久中文字幕| 午夜成人理论无码电影在线播放| 国产一区二区三区涩涩| 人妻丝袜中文无码av影音先锋专区| 久久精品国产亚洲av麻| 胳膊肘上有白色的小疙瘩|