無服務(wù)器計(jì)算被曝存在安全隱患,傳統(tǒng)遺留體系該何去何從?

隨著五分之三的企業(yè)現(xiàn)在或計(jì)劃進(jìn)入無服務(wù)器狀態(tài)，攻擊面將會(huì)擴(kuò)大。

據(jù)外媒報(bào)道，Datamation最近對(duì)108名IT經(jīng)理進(jìn)行調(diào)查后得出結(jié)論，至少有五分之一（21%）的企業(yè)已將無服務(wù)器計(jì)算作為基于云的基礎(chǔ)設(shè)施的一部分，另有39%的公司正在計(jì)劃或考慮使用無服務(wù)器資源。

那么問題來了，無服務(wù)器計(jì)算是否會(huì)很快達(dá)到大多數(shù)企業(yè)使用的臨界量？與此同時(shí)，對(duì)安全有什么影響?

現(xiàn)有的內(nèi)部系統(tǒng)和應(yīng)用程序仍然需要更傳統(tǒng)的維護(hù)。即使是現(xiàn)有的基于云的應(yīng)用程序，也仍然是圍繞服務(wù)器化的開發(fā)和交付模式構(gòu)建的。許多企業(yè)現(xiàn)即使開始過渡到無服務(wù)器模式，也要管理大量傳統(tǒng)應(yīng)用程序。Attivo Networks的創(chuàng)始人兼副總裁Marc Feghali表示，即使應(yīng)用程序或系統(tǒng)位于云計(jì)算中，但仍然更接近于傳統(tǒng)IT。

現(xiàn)有或遺留體系結(jié)構(gòu)應(yīng)該如何逐步淘汰？這是一次短暫的遷移，還是一次漸進(jìn)的遷移？Feghali建議逐步遷移，并注意安全要求。某些情況下仍然需要現(xiàn)有的遺留體系結(jié)構(gòu)，而無服務(wù)器計(jì)算受到性能、資源和安全問題的限制。無服務(wù)器的優(yōu)勢(shì)在于它擅長(zhǎng)降低計(jì)算成本，在可行的情況下，應(yīng)該逐漸遷移到無服務(wù)器的基礎(chǔ)設(shè)施。

但是，使用新的服務(wù)或解決方案，需要評(píng)估安全性框架，以查看即將出現(xiàn)哪些新的漏洞和風(fēng)險(xiǎn)。然后，需要重新評(píng)估并完善控制和流程，以應(yīng)對(duì)這些新的風(fēng)險(xiǎn)模型。

在無服務(wù)器環(huán)境中，安全協(xié)議和進(jìn)程不同。也就是說，隨著無服務(wù)器計(jì)算的使用，企業(yè)的攻擊面會(huì)變大，其中包括應(yīng)用程序?qū)?、代碼、依賴項(xiàng)、配置以及應(yīng)用程序正常運(yùn)行所需的云資源。

Eric Jonas領(lǐng)導(dǎo)的加州大學(xué)伯克利分校（University of California At Berkeley）的一項(xiàng)研究表明，引入更好地保護(hù)無服務(wù)器環(huán)境所需的安全措施會(huì)增加更多的成本和開銷。無服務(wù)器計(jì)算重新調(diào)整了安全職責(zé)，將其中許多職責(zé)從云用戶轉(zhuǎn)移到云提供商，而沒有從根本上改變它們。然而，無服務(wù)器計(jì)算還必須解決兩個(gè)應(yīng)用程序分解多租戶資源共享所固有的風(fēng)險(xiǎn)。

加州大學(xué)伯克利分校的團(tuán)隊(duì)表示，保護(hù)無服務(wù)器的一種方法是“無關(guān)算法”。將無服務(wù)器應(yīng)用程序分解為許多小函數(shù)的趨勢(shì)加劇了安全風(fēng)險(xiǎn)。雖然主要的安全問題來自外部攻擊者，但是通過采用無關(guān)算法可以保護(hù)網(wǎng)絡(luò)模式不受內(nèi)部的影響，但這些項(xiàng)目的開銷往往很高。另一種方法是對(duì)無服務(wù)器資源和功能進(jìn)行物理隔離。