管理无服务器计算安全性的方法有:1、减少无服务器权限功能,从而减少权限数量;2、实施身份验证,访问控制和身份验证能帮助限制风险;3、使用云平台提供的程序控件,能帮助用户识别潜在的错误配置;4、配置日志记录和监视,在需要威胁搜索时使用审计跟踪;5、监控功能层,可以识别注入和恶意活动的尝试;6、考虑使用第三方安全工具,能为无服务器计算提供额外的可见性和控制层。
具体内容如下:
减少无服务器权限
无服务器计算的较大风险是具有比所需更多权限的功能。通过无服务器,可以通过为很多已部署的功能实施很小权限模型显著地减少攻击面。在功能的开发阶段,可以在暂存环境中设置自动检查,从而减少权限数量。通过分析功能行为,还可以查看正在运行的功能实际使用的特权。通过该可见性,管理员可以具有访问权限以启用所需权限。
实施身份验证
调用服务的功能,无论是否在同一云计算提供商内部,都须要求访问控制和身份验证才能帮助限制风险。云计算提供商提供有关如何实施无服务器身份验证的较佳实践的指导,管理员应遵循这些实践。
使用云平台提供程序控件
云计算提供商还具有多种内置服务,可帮助用户识别潜在的错误配置。例如,AWS Trusted Advisor是运行AWS Lambda的选项。
日志功能活动
由于无服务器功能是事件驱动和无状态的,因此查看实时活动通常会错过大多数活动。通过对无服务器使用云计算提供程序(或第三方)日志记录和监视,可以在需要威胁搜索时使用审计跟踪。
监控功能层
功能可以有多个层,可以调用不同的代码和第三方数据库。通过监控功能层,管理员可以识别注入和恶意活动的尝试。
考虑第三方安全工具
虽然无服务器平台提供商通常集成了一些安全控制,但它们的范围往往有限,只关注运行这些功能的平台。有多种第三方工具和技术可为无服务器计算提供额外的可见性和控制层。
