无服务器计算安全管理攻略

无服务器计算安全管理攻略

随着云计算技术的深入普及，无服务器计算近年来逐渐成为了不少企业的首选。相比于传统的服务器计算方式，无服务器计算无需在物理服务器上安装和配置软件环境，其实现方式是将代码上传至云服务提供商所提供的函数计算服务中，由服务提供商进行管理并在需要时自动调用。这种极具弹性的计算方式，为企业降低了IT部署和维护的难度，提升了应用的灵活性和可扩展性，但伴随其而来的问题，也不容小觑，这其中最为关键的便是安全问题。

无服务器计算与传统计算方式有一个显著的区别，即传统计算方式采用固定的服务器架构，通常采用网络隔离的方式来保证其安全性，但无服务器计算却被设计成了分片式的、随机分配计算资源的架构，这种结构下缺乏统一的访问控制策略，其软件组件安全性和通信安全性也无法简单的通过传统安全设施进行保障。如何在不影响无服务器计算的弹性、扩展性的前提下，保障业务的安全性，是当前无服务器计算所需解决的重要问题。

1. 无服务器计算安全风险

1.1 代码风险

为了提高应用的效率，许多公司采用了开源代码，但是开源代码的作者并非我们自己，不能够保证源代码不存在安全漏洞或恶意行为。

1.2 数据风险

由于无服务器计算架构的数据处理是轻量级的，通常不支持用户独立配置访问控制权限，如未严格控制数据读写权限，数据安全会受到威胁。

1.3 网络隔离风险

无服务器计算的架构同传统计算方式的架构方式存在本质上的差异。在无服务器计算中，我们无法像传统计算方式一样，实现对于网络隔离性的控制。

2. 无服务器计算安全管理攻略

2.1 加密

在进行代码上传至云服务时，我们可以在本地进行加密处理，使第三方无法轻易的破解和取得源代码，从而保证应用的代码不会被恶意操控实现安全保障的作用。

2.2 网络控制

网络控制就是在保障数据安全的基础上，实现访问控制，在网络边界进行盾构。通过网络控制，我们可以实现对网络的安全控制，使数据在传输时不会被篡改。

2.3 应用隔离

要保证无服务器计算的安全运行，我们可以将应用按照不同的类别进行隔离。即不同的应用程序会被隔离在不同的容器中，避免应用程序之间互相干扰，同时，若其中一个应用程序受到攻击，也不会对其它应用程序造成影响。

2.4 日志审计

在无服务器计算中，使用日志审计功能可以在事后进行用户行为审计，从而减轻服务器压力与那种安全管理的艰巨性20，则，我们可以实现在服务管理和用户行为审计中快速细化关注点。

3. 结语

虽然无服务器计算的安全管理问题并不易解决，但是，只要我们加强数据和代码加密措施、进行严格的访问控制、实现应用隔离、加强日志审计，就可以做到即便在不可靠的网络环境下也实现企业的计算安全。