雲端責任共擔模型
雲端運算允許公司將託管和維護其底層基礎設施的責任外包給第三方雲端服務供應商。 這使公司能夠利用雲端的各種優勢,並將保護該底層基礎設施的責任移交給雲端提供者。
然而,根據 雲端共享責任模型,雲端提供者不對客戶的雲端部署承擔全部責任。 根據所使用的雲端模型(軟體即服務、基礎架構式服務、PaaS 等),客戶可以存取和控制其雲端基礎設施堆疊的某些層級。 除了配置和維護這些等級之外,客戶還負責充分保護它們。
何謂無伺服器的資安防護?
充分利用雲端運算的優勢需要部署雲端原生解決方案。 無伺服器應用程式(例如 Azure Functions)在雲端供應商(而不是客戶)管理整個基礎架構堆疊的環境中運行,從而為開發人員建立託管環境來部署和執行程式碼。
無伺服器功能和環境的設計會帶來獨特的安全風險。 例如,無伺服器功能是僅在回應特定事件時才啟動的應用程序,這使得它們難以使用傳統安全解決方案進行有效監控。 無伺服器的資安保障 提供針對 Azure Functions 和其他無伺服器應用程式的獨特需求和安全性挑戰量身定制的安全性。
Azure Functions 安全性的重要性
隨著公司更全面地採用 Microsoft Azure,可能已被「提升和轉移」的遺留應用程式可能會被重新設計為雲端原生無伺服器應用程序,而新的開發將充分利用無伺服器生態系統。 因此,公司將擁有越來越多的無伺服器應用程式。
這些應用程式可能有權存取敏感資訊並實施組織 IT 解決方案的核心元件。 實施強大的 Azure Functions 安全性對於防止資料外洩、關鍵服務中斷以及組織營運的其他潛在威脅至關重要。
Azure Functions 安全最佳實踐
Azure Functions 等無伺服器應用程式面臨許多與非無伺服器應用程式相同的安全威脅。 然而,無伺服器功能也具有獨特的安全風險和管理它們的最佳實踐。
其中一些最佳實踐包括:
- 驗證不受信任的輸入: 注入攻擊是應用程式安全性的最大威脅之一,之所以存在這些脆弱性,是因為應用程式對不可信輸入做出了假設,但沒有強制執行。 在處理輸入之前驗證輸入可以保護 Azure Functions 和其他應用程式免受注入攻擊。
- 實作最低權限: 如果 Azure Function 具有可利用的脆弱性,則攻擊者可能會利用此漏洞來存取敏感資料或其他企業 IT 資產。 僅限制 Azure Functions 存取其角色所需的內容有助於最大限度地減少攻擊或其他應用程式問題的影響。
- 管理供應鏈風險: 應用程式通常依賴各種第三方程式庫和其他外部依賴項,這些依賴項可能包含可被攻擊者利用的脆弱性。 監視安全性更新的依賴項並及時安裝它們對於維護依賴它們的應用程式的安全性至關重要。
- 安全雲端儲存: Azure Functions通常是無狀態的,依賴雲端儲存來維護重要的狀態資料;然而,雲端資料安全是組織面臨的共同挑戰。 限制對雲端資料儲存的存取對於無伺服器功能資料的機密性、完整性和可用性至關重要。
- 保護功能秘密: Azure Functions 可能需要存取秘密訊息,例如加密金鑰、應用程式開發介面金鑰和其他資料。 這些資料必須安全存儲,而不是放置在攻擊者可能存取的純文字設定檔或環境變數中。
- 實施零信任安全: 無伺服器應用程式旨在互連。 由於有些可能面向公眾,而有些可能存取關鍵資料和功能,因此薄弱的身份驗證和存取管理實踐可能會使關鍵功能容易受到攻擊。 身份驗證和授權應在零信任模型下強制執行,其中每個存取請求都根據最低權限存取控制進行審查、批准或拒絕。
使用 CloudGuard 實現 Azure Functions 安全
採用無伺服器應用程式對於組織充分利用雲端運算優勢的能力至關重要。 然而,像 Azure Functions 這樣的無伺服器應用程式會帶來公司必須管理的獨特安全風險。 無伺服器的資安保障應該是組織微軟的核心組成部分 Azure 資訊安全 策略。
要了解有關無伺服器功能面臨的主要風險的更多信息,請查看 無伺服器的資安保障風險及緩解策略 電子書。 然後,了解如何透過註冊 Check Point 來保護組織的 Azure Functions Check Point CloudGuard 工作負載免費示範 今天。
反映意見