信息化觀察網(wǎng)

云原生計算帶來了應(yīng)用程序開發(fā)、部署和運行方式的巨大變化，毫不奇怪，它也在改變信息安全的規(guī)則。無服務(wù)器計算就是一個好例子。

Check Point軟件的云安全策略師Hillel Solow一直處于這些變化的前沿。Solow與人共同創(chuàng)立了Protego Labs，這是無服務(wù)器安全領(lǐng)域的先驅(qū)。安全供應(yīng)商Check Point很早就看到了Protego的價值，在2019年將其收購。

Solow解釋說，Protego的起點無服務(wù)器（Serverless）是云原生計算帶來的巨大變化的一個很好的例子。無服務(wù)器工作負載會彈出并在完成后立即消失。它迫使安全專業(yè)人員重新思考或“整體地”思考如何保護應(yīng)用程序。攻擊者可能無法使用無服務(wù)器調(diào)用創(chuàng)建用戶帳戶或進入大量用戶數(shù)據(jù)，但仍然可以通過使用無服務(wù)器調(diào)用作為軸心點進行更多的進入，或以不必要的費用給帳戶持有人造成損害。

Solow認為，在許多方面，無服務(wù)器安全性的最佳實踐應(yīng)該作為所有應(yīng)用程序安全性的一般準(zhǔn)則。最近，軟件安全領(lǐng)域的很多人都在考慮保護應(yīng)用程序之外的東西，比如網(wǎng)絡(luò)。但無服務(wù)器提供了根據(jù)具體情況鎖定單個系統(tǒng)和云調(diào)用的機會。之前，一個容器中的應(yīng)用程序可能捆綁了數(shù)百個系統(tǒng)調(diào)用，因此跟蹤每個應(yīng)用程序做什么以及它應(yīng)該（和不應(yīng)該）如何與其他服務(wù)交互的成本是非常高昂的。但是，將這些調(diào)用分解為單獨的操作會使安全專業(yè)人員能夠?qū)γ總€調(diào)用應(yīng)用“最小特權(quán)”，確保沒有人執(zhí)行他們不應(yīng)該執(zhí)行的任何操作。

當(dāng)然，以前也嘗試過這種方法，例如SELinux，但在許多情況下，手工為系統(tǒng)調(diào)用制定一套策略對于任何一個開發(fā)人員來說都是太多的工作。Protego早期的賣點是自動檢查無服務(wù)器代碼，以查看每個調(diào)用需要做什么，然后，通過擴展，確定代碼需要什么系統(tǒng)或云權(quán)限來完成這項工作。然后很容易授予這些權(quán)限并阻止所有其他操作，從而保護應(yīng)用程序。

在無服務(wù)器的情況下，“最小特權(quán)的概念變得超級強大。如果我們可以說‘嘿，這個功能只能從這個表中讀取’或者‘這個功能只能寫入這個bucket’，那么應(yīng)用程序的大部分攻擊面就可能‘通過將這些權(quán)限降到最低限度而消失’，他說。

原文鏈接：

https://thenewstack.io/cloud-native-security-shifts-the-focus-back-to-the-application/