无服务器计算：功能与基础设施即服务

安全性是云供应商和客户之间共同承担的责任。因为云供应商在进行操作和管控时，按需灵活组合使用物理和虚拟化IT及IDC资源，这种共享模型有助于减轻客户的运营负担。

目前，当客户在基础设施即服务（IaaS）平台上部署应用程序时，客户承担着管理操作系统的责任，包括更新安全补丁、关联应用程序和配置网络防火墙。针对云环境中的虚拟项目实例来讲，客户需要仔细考虑如何选择云服务，这具体取决于所使用的服务与IT环境的集成和法律法规的适用情况等等。

随着无服务器计算（FaaS或功能即服务）的引入，安全责任更加向云供应商转移，企业可转移更多事项以专注于核心业务。但是，通过将安全责任转移到云，公司从中真正获得了多少收益？

核心要求：从物理安全到应用安全

以下项自下而上列出，从物理层延伸至应用层。

• 物理基础设施，物理边界和硬件的访问限制

• 安全配置基础设施和系统

• 定期测试所有系统和进程（操作系统、服务）的安全性

• 识别和认证对系统的访问（操作系统、服务）

• 修复操作系统中的缺陷

• 加强操作系统和服务

• 保护所有系统免受恶意软件和后门的侵害

• 修复运行时环境和相关软件包中的漏洞

• 预防并实施存储保护

• 细分网络

• 监控所有网络资源和访问

• 安装和维护网络防火墙

• 网络层DoS保护

• 用户身份验证

• 访问应用程序和数据时的权限控制

• 记录并维护对应用程序和所有访问数据的审计及跟踪

• 部署应用层防火墙以进行事件数据审查

• 检测并修复第三方附属项中的漏洞

• 使用权限最低的IAM（身份识别与访问管理）角色和权限

• 实施合法的应用程序运营

• 数据防泄密

• 在开发过程中静态扫描代码和配置

• 维护无服务器或云资产库存

• 删除超时或未使用的云服务和功能

• 持续监控错误和安全事件

IaaS：供应商与客户

在IaaS上开发应用程序时，安全责任大致分为以下几种：

1. 云供应商责任：

• IT基础设施、物理边界和硬件的访问限制

• 安全配置基础设施和系统

2. 客户责任：

• 定期测试所有系统和进程（操作系统，服务）的安全性

• 识别和认证对系统的访问（操作系统，服务）

• 修补操作系统中的缺陷

• 加强操作系统和服务

• 保护所有系统免受恶意软件和后门的侵害

• 修复运行时环境和相关软件包中的缺陷

• 预防并进行存储保护

• 细分网络

• 跟踪和监控所有网络资源和访问

• 安装和维护网络防火墙

• 网络层DoS保护

• 用户身份验证

• 访问应用程序和数据时的权限控制

• 记录和维护对应用程序和所有访问数据的审计及跟踪

• 部署应用层防火墙以进行事件数据审查

无服务器（FaaS）：供应商与客户

在无服务器架构上开发应用程序时应如何分担责任：

1. 云供应商责任：

• 物理基础设施，物理边界和硬件的访问限制

• 安全配置基础设施和系统

• 定期测试所有系统和进程（操作系统，服务）的安全性

• 识别和认证对系统的访问（操作系统，服务）

• 修复操作系统中的缺陷

• 加强操作系统和服务

• 保护所有系统免受恶意软件和后门的侵害

• 修复运行时环境和相关软件包中的缺陷

• 预防并进行存储保护

• 细分网络

• 跟踪和监控所有网络资源和访问

• 安装和维护网络防火墙

• 网络层DoS保护

2. 客户责任：

• 用户身份验证

• 访问应用程序和数据时的授权控制

• 记录和维护对应用程序和所有访问数据的审计及跟踪

• 部署应用程序层防火墙以进行事件数据检查

• 检测并修复第三方附属项中的漏洞

• 使用权限最低的IAM（身份识别与访问管理）角色和权限

• 实施合法的应用程序行为

• 数据防泄密

• 在开发过程中静态扫描代码和配置

• 维护无服务器或云资产库存

• 删除超时或未使用的云服务和功能

• 持续监控错误和和安全事件

声明：本文来自安全牛，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。