云函數(shù)帶來新的安全挑戰(zhàn)

陳琳華

云函數(shù)或無服務(wù)器應(yīng)用具有體積小、速度快和壽命短等特點(diǎn)。但我們?cè)撊绾未_保它們的安全呢？

無服務(wù)器應(yīng)用部署在云平臺(tái)上，被設(shè)計(jì)為僅使用任務(wù)所需的計(jì)算資源。它們只在需要時(shí)出現(xiàn)，任務(wù)結(jié)束后即消失。如果你希望最大限度地提高性能，同時(shí)將云環(huán)境中的開銷降到最低，那么它們是非常棒的選擇。雖然無服務(wù)器應(yīng)用具有體積小、速度快且壽命短的特點(diǎn)，但是它們也給安全團(tuán)隊(duì)帶來了新的挑戰(zhàn)。

目前，網(wǎng)絡(luò)安全行業(yè)的主要精力仍是全力應(yīng)對(duì)小巧且易于部署的容器所帶來的安全挑戰(zhàn)。由于許多容器可以在單個(gè)虛擬機(jī)中運(yùn)行，彼此間相隔離，所以它們比以前的應(yīng)用部署選項(xiàng)更加便宜且更加靈活。

容器與無服務(wù)器應(yīng)用（也被稱為云函數(shù)）或是亞馬遜Lambda函數(shù)沒有什么關(guān)系。亞馬遜和IBM于2014年發(fā)布了首個(gè)云函數(shù)計(jì)算服務(wù)，隨后谷歌和微軟在2016年也推出了自己的相應(yīng)服務(wù)。與容器相比，云函數(shù)更小、更輕，甚至壽命也更短。這導(dǎo)致安全團(tuán)隊(duì)也更難以確保它們的安全。

至少在容器中還能安裝主要應(yīng)用和一些安全軟件，如日志記錄或惡意軟件保護(hù)工具。但是在云函數(shù)中只有一個(gè)函數(shù)，不能安裝其他東西。我們只能在云端運(yùn)行幾行代碼。與任何新技術(shù)一樣，無服務(wù)器應(yīng)用的安全性也是在事后才被考慮到。許多開發(fā)人員盲目地認(rèn)為基礎(chǔ)設(shè)施提供商會(huì)確保云函數(shù)的安全。

風(fēng)險(xiǎn)不明且缺乏相關(guān)的專業(yè)知識(shí)

Eastwind Networks首席安全和戰(zhàn)略官Robert Huber指出，目前缺乏無服務(wù)器安全專業(yè)知識(shí)的不僅僅是企業(yè)開發(fā)團(tuán)隊(duì)，整個(gè)行業(yè)也是如此。他說：“很少有網(wǎng)絡(luò)安全專業(yè)人員能夠從技術(shù)層面理解微服務(wù)和云計(jì)算。更令人不安的是，大多數(shù)組織機(jī)構(gòu)沒有專門的網(wǎng)絡(luò)專業(yè)人員，而通常這些網(wǎng)絡(luò)專業(yè)人員都具備可降低環(huán)境中風(fēng)險(xiǎn)的必備技能?，F(xiàn)在又出現(xiàn)了無服務(wù)器應(yīng)用?！?/p>

Huber還指出，關(guān)于這一新技術(shù)所面臨的全部網(wǎng)絡(luò)風(fēng)險(xiǎn)，目前還沒有可靠信息，而來自安全廠商的支持也是非常不成熟的。因此企業(yè)在考慮無服務(wù)器的投資回報(bào)率時(shí)應(yīng)當(dāng)保持謹(jǐn)慎。

雖然安全軟件商邁克菲稱，無服務(wù)器架構(gòu)可以將某些操作的成本降低十倍，但是這一評(píng)估是在全面了解安全風(fēng)險(xiǎn)之前做出的。邁克菲也指出，無服務(wù)器應(yīng)用的靈活計(jì)費(fèi)模式本身就是一種安全風(fēng)險(xiǎn)。因?yàn)閼?yīng)用會(huì)很自然地根據(jù)流量進(jìn)行擴(kuò)展和計(jì)費(fèi)，所以分布式拒絕服務(wù)（DDoS）攻擊會(huì)觸及這一重要問題。

可快速大規(guī)模部署的小型函數(shù)在數(shù)量上正變得越來越多，并且會(huì)在網(wǎng)絡(luò)中彼此通信，這也導(dǎo)致攻擊面變得越來越大，這就成了一個(gè)嚴(yán)重的問題。邁克菲認(rèn)為，無服務(wù)器應(yīng)用將成為2018年新五大威脅之一。

無服務(wù)器安全陷阱

決定冒險(xiǎn)的企業(yè)應(yīng)該留意潛在的盲點(diǎn)。Aqua Security的聯(lián)合創(chuàng)始人兼首席技術(shù)官Amir Jerbi說：“我們看到了一個(gè)巨大的教育差距，尤其是對(duì)那些剛剛開始嘗試這一新技術(shù)的公司而言?！?/p>

借助無服務(wù)器基礎(chǔ)設(shè)施架構(gòu)，云服務(wù)提供商可以處理所有的環(huán)境安全問題?？蛻糁恍鑾纤麄兊膽?yīng)用程序。這乍一聽似乎無服務(wù)器是安全領(lǐng)域向前邁出的一大步，但企業(yè)需要了解基礎(chǔ)設(shè)施提供商負(fù)責(zé)的范圍，以及如何充分利用所有的安全功能，例如人員如何被授權(quán)在他們的付費(fèi)賬戶中啟用新的函數(shù)以及可以對(duì)哪些東西進(jìn)行監(jiān)控。

Jerbi表示：“他們需要了解如何限制訪問，能夠獲得哪些原生工具，以及自己缺少什么?？傮w而言，由于轉(zhuǎn)向無服務(wù)器函數(shù)，網(wǎng)絡(luò)安全應(yīng)該會(huì)得到改善，因?yàn)榛A(chǔ)設(shè)施提供商可以完全控制環(huán)境，并且可以為用戶提供大量安全保護(hù)。你自己的團(tuán)隊(duì)不再需要知道如何處理它們。”

云提供商將強(qiáng)化環(huán)境，確保所有東西都是最新和最安全的版本，以及所有補(bǔ)丁均已被打上。倫敦?cái)?shù)字自動(dòng)化信息公司Eggplant的首席技術(shù)官Antony Edwards說：“無服務(wù)器幾乎消除了目前入侵的主要渠道——未打補(bǔ)丁的服務(wù)器。這些服務(wù)器正在使用具有已知漏洞的二進(jìn)制文件，因?yàn)樗鼈儧]有對(duì)相關(guān)漏洞進(jìn)行最新的安全更新。目前大多數(shù)情況下，絕大多數(shù)的成功入侵都與已知漏洞有關(guān)?！?/p>

極大的靈活性帶來了巨大的責(zé)任

無服務(wù)器應(yīng)用或云函數(shù)可以在極短的時(shí)間內(nèi)出現(xiàn)和消失，應(yīng)用可以平穩(wěn)且經(jīng)濟(jì)高效地?cái)U(kuò)展。Edwards說，它們非常適合那些圍繞微服務(wù)構(gòu)建起來的應(yīng)用。不幸的是，它們也為企圖濫用這些應(yīng)用的攻擊者提供了更多的機(jī)會(huì)。

由于開發(fā)人員不需要擔(dān)心底層基礎(chǔ)架構(gòu)，因此他們會(huì)在沒有傳統(tǒng)安全審查流程的情況下快速推出應(yīng)用，這導(dǎo)致應(yīng)用本身可能會(huì)出現(xiàn)更多漏洞。由于無服務(wù)器應(yīng)用是小型的獨(dú)立函數(shù)，所以攻擊者有更多機(jī)會(huì)嘗試提升權(quán)限或利用未妥善管理的應(yīng)用程序相關(guān)性。此外，攻擊者還可以利用竊取的證書獲得數(shù)據(jù)的訪問權(quán)。

開發(fā)人員應(yīng)確保數(shù)據(jù)庫(kù)訪問有嚴(yán)格的限制措施。Edwards說：“要避免人人都能訪問你的數(shù)據(jù)庫(kù)，甚至是讀取訪問權(quán)限，取而代之的是只將訪問權(quán)限給予最需要它們的人和系統(tǒng)?！?/p>

另一方面，無服務(wù)器應(yīng)用允許更為精細(xì)的管理，因此開發(fā)人員可以更為精準(zhǔn)地定制訪問控制權(quán)。云安全公司Edgewise Networks的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Peter Smith認(rèn)為，如何管理是開發(fā)人員轉(zhuǎn)向無服務(wù)器應(yīng)用時(shí)遇到的最大挑戰(zhàn)。他說：“控制這些服務(wù)之間的相互訪問是一項(xiàng)重大挑戰(zhàn)，需要一種新的訪問管理模式。”

這個(gè)問題的影響范圍有多大呢？答案是相當(dāng)大。據(jù)無服務(wù)器安全公司PureSec在4月份發(fā)布的報(bào)告顯示，21%的開源無服務(wù)器項(xiàng)目至少有一個(gè)嚴(yán)重漏洞或配置錯(cuò)誤，6%存在諸如在公開訪問位置存放API密鑰的問題。該公司認(rèn)為，目前存在的五大主要問題是數(shù)據(jù)注入、認(rèn)證失效、不安全配置、權(quán)限過高和監(jiān)控不足。

這對(duì)人類來說可能是一個(gè)極大的挑戰(zhàn)，以至于根本無法處理。這時(shí)可能需要大規(guī)模利用人工智能（AI）進(jìn)行處理。Smith說：“新的方法可以通過使用機(jī)器學(xué)習(xí)分析無服務(wù)器組件相關(guān)性來限制攻擊面，以及通過自動(dòng)生成最低網(wǎng)絡(luò)控制來降低風(fēng)險(xiǎn)?！币圆捎米詣?dòng)化和可擴(kuò)展的方式實(shí)現(xiàn)只在可信的組件之間進(jìn)行必要的訪問。

除了信任，還需要驗(yàn)證

所有主要的云提供商現(xiàn)在都有無服務(wù)器產(chǎn)品。其中，如亞馬遜的AWS Lambda函數(shù)、微軟的Azure函數(shù)，谷歌和IBM的Cloud Functions。

盡管產(chǎn)品眾多，但是用戶無法一直準(zhǔn)確地知道底層基礎(chǔ)設(shè)施架構(gòu)是什么，它是如何工作的，以及如何確保安全。在某種程度上，這是廠商故意為之。如果公眾能夠訪問這些信息，那么對(duì)于黑客來說也是如此。這也意味著企業(yè)必須要對(duì)許多東西采取信任的態(tài)度。

Kudelski Security解決方案架構(gòu)主管Bo Lane稱，理論上，無服務(wù)器函數(shù)運(yùn)行在孤立的環(huán)境中，但是它們?nèi)匀皇桥c多個(gè)客戶共享的硬件和計(jì)算環(huán)境。另外，客戶不能在該環(huán)境中安裝自己的安全工具，這就造成了嚴(yán)重的限制。Lane問道：“你如何監(jiān)視函數(shù)中的輸入和輸出？你如何監(jiān)控正在進(jìn)行的惡意活動(dòng)？你需要在本地環(huán)境或虛擬機(jī)上部署許多工具，但是又無法部署這些工具。企業(yè)客戶需要了解基礎(chǔ)設(shè)施提供商能夠提供哪些工具?！?/p>

另一種選擇是使用像Apache OpenWhisk這樣的平臺(tái)創(chuàng)建自己的無服務(wù)器環(huán)境。事實(shí)上，這是IBM云函數(shù)解決方案 Bluemix OpenWhisk所基于的平臺(tái)。其他的選項(xiàng)還包括Fission、IronFunctions和Gestalt。

企業(yè)也可以從內(nèi)部監(jiān)控函數(shù)的性能。例如，專注于應(yīng)用層的安全廠商FairWarning的創(chuàng)始人兼首席執(zhí)行官Kurt Long說：“我們會(huì)在應(yīng)用內(nèi)部設(shè)置審計(jì)函數(shù)。如果是自研應(yīng)用程序，那么它們會(huì)有審計(jì)跟蹤。”

所有的基本要素仍然適用，不管應(yīng)用如何部署。他說：“在無服務(wù)器應(yīng)用中，仍然有數(shù)據(jù)需要保護(hù)，仍然有業(yè)務(wù)功能需要實(shí)現(xiàn)，人們也必須要訪問服務(wù)。有些事情不會(huì)改變?！?/p>

從應(yīng)用首次構(gòu)建時(shí)就開始建立安全性比任何時(shí)候都更加重要。紅帽JBoss的工程副總裁兼首席技術(shù)官M(fèi)ark Little表示：“安全性不應(yīng)該在應(yīng)用開發(fā)完成后才考慮。”然而，在實(shí)踐中，目前還沒有關(guān)于基礎(chǔ)設(shè)施漏洞的具體信息，也不清楚應(yīng)用安全性隨著向無服務(wù)器應(yīng)用的過渡會(huì)變得更好還是更糟。Little說：“函數(shù)即服務(wù)目前正在被過度炒作?！伴_發(fā)人員對(duì)使用它們很感興趣。對(duì)于開發(fā)人員不斷嘗試這一新技術(shù)或是在生產(chǎn)中使用它們，我們還沒有什么很好的意見?！?/p>

據(jù)Sumo Logic去年秋季對(duì)1500名運(yùn)行云應(yīng)用的客戶展開的調(diào)查顯示，使用AWS Lamdba的人數(shù)已經(jīng)從2016年的12%增長(zhǎng)至了2017年的23%，翻了近一倍。

以后的增長(zhǎng)率可能會(huì)出現(xiàn)大幅增長(zhǎng)。據(jù)Cloudability稱，AWS Lambda上無服務(wù)器函數(shù)的增長(zhǎng)率由2017年第一季度的100%激增到了第四季度的667%。它們將很快成為一個(gè)非常龐大且攻擊目標(biāo)豐富的環(huán)境。

本文作者M(jìn)aria Korolov在過去20年內(nèi)長(zhǎng)期關(guān)注新興技術(shù)和新興市場(chǎng)。

原文網(wǎng)址

https：//www.csoonline.com/article/3277965/cloud-security/cloud-functions-present-new-security-challenges.html