最近几年,无 服务器 计算技术实现了显著的增长,同时也伴随着新解决方案生态系统的蓬勃发展。这些新的解决方案提供了可观察性、实时追踪、部署框架、以及应用安全性。
随着无服务器安全风险逐渐引发人们的关注,那些嘲笑者和愤世嫉俗者们所谓“FUD”——恐惧、不确定、怀疑——的习惯又一次发作,他们指出,尽管无服务器技术在软件快速部署和大幅降低TCO方面有着巨大的价值,但同时也带来了新的安全挑战。
不断演化发展的无服务器生态系统
衡量一项成熟技术的关键指标之一,是该技术的生态系统。是否拥有蓬勃发展的社区、广泛的文档、实践指南和工具,决定了企业组织是否会信任并采用新的技术。
最近,云安全联盟(Cloud Security Alliance,CSA)联合PureSec公司合作撰写了一份无服务器安全指南,这份指南从去年的版本中汲取了大部分的内容,同时增加了两个重要的风险等级。
这份题为《无服务器应用12个最严重的风险》的指南,是针对那些处理无服务器应用的安全和开发受众编写的,但内容并不仅限于指出这些风险的存在,还为所有主流平台提供了落地实践。我们对风险类别的定义如下:
风险1:功能事件-数据注入
无服务器技术可以采用不同事件源输入的数据,而且每个事件源都有自己特有的消息格式和编码机制。这些事件消息中,可能包含了受黑客控制的、或者不受信任的数据输入,这些是需要经过严格审查的。
风险2:认证失败
由于无服务器改善了面向微服务的系统设计,因此应用可能包含数十个甚至数百个功能。如果不谨慎执行的话,身份验证过程中就很容易出现错误。
风险3:不安全的无服务器部署配置
云提供商提供了很多设置选项,可以根据特定需求调整服务。开箱即用的设置不一定是最安全的选择。随着越来越多的企业组织迁移到云端,云配置出现漏洞也越来越普遍。
风险4:过度特权功能权限和角色
管理功能权限和角色,是企业组织在把应用部署到云端时,面临的最艰巨的安全挑战之一。有时候开发人员想走捷径,采用“通吃”的权限模型,这是很常见的。
风险5:功能监控和记录功能不足
虽然大多数云厂商都提供了非常强大的日志记录功能,但这些日志并不一定适合于在应用层提供完整的安全事件审计跟踪功能。
风险6:依赖于不安全的第三方
虽然第三方库的不安全性,并不是只有无服务器技术才有的缺点,但由于缺乏应用网络和行为安全控制能力,无服务器环境中检测出的恶意软件包要更加复杂一些。
风险7:不安全的应用秘密存储
应用秘密存储最常出现的问题之一,就是把这些秘密信息简单地保存成某个软件项目中的一个纯文本文件,或者是把这些秘密信息保存成一个作为环境变量的纯文本文件。
风险8:拒绝服务和财务资源枯竭
无服务器架构具有自动可扩展和高可用性等特点,但是,与任何其他类型的应用一样,无服务器需要采用良好的设计以避免出现瓶颈,是至关重要的。
风险9:无服务器业务逻辑操作
业务逻辑操作是很多软件中常常出现的问题。但是,无服务器应用有些特殊,它们通常遵循微服务设计的,其中包含的各种功能是链接在一起形成了一个逻辑整体的。如果执行不当的话,可能就会被攻击者篡改预期的逻辑。
风险10:不恰当的异常处理和详细错误消息
与标准应用的调试功能相比,无服务器应用的逐行调试功能是受到限制的,而且更复杂一些。因此,经常会出现很冗长的错误消息,这可能会导致敏感数据的泄漏。
风险11:遗留的/未使用的功能和云资源
随着时间的推移,无服务器功能和相关的云资源可能会过时,应该被淘汰掉。处理过时的组件,是为了减少不必要的成本,并消除可以避免的受攻击面。过时的无服务器应用组件,可能是那些不好的无服务器功能版本、未使用的云资源、不必要的事件源、未使用的角色或者身份、未使用的依存关系。
风险12:交叉执行数据持久性
无服务器平台为应用开发人员提供本地磁盘存储、环境变量和内存,用于执行任务。为了让无服务器平台能够高效处理新的调用,云提供商们可能会在后续的调用中重复利用这个执行环境。如果无服务器执行环境被反复用于后续的调用,属于不同的用户或不同的会话,那么就有可能遗留下来敏感的数据,并出现敏感数据泄露。
该指南的目的是提高人们的认识,帮助企业组织安全地进行无服务器方面的创新,而不是传播恐慌。任何平台都存在安全风险,无服务器也不例外。CSA提出这些问题的目的,是为了鼓励企业组织采用新的技术,同时避免风险和常见错误。
通讯网络的安全隐患有哪些
Internet的前身是AppANET,而APPNET最初是为军事机构服务的,对网络安全的关注较少。 在进行通信时,Internet用户的数据被拆成一个个数据包,然后经过若干结点辗转传递到终点。 在Internet上,数据传递是靠TCP/IP实现的。 但是TCP/IP在传递数据包时,并未对其加密。 换言之,在数据包所经过的每个结点上,都可直接获取这些数据包,并可分析、存储之。 如果数据包内含有商业敏感数据或个人隐私信息,则任何人都可轻易解读。 几种常见的盗窃数据或侵入网络的方法:1.窃听(Eavesdropping)最简易的窃听方式是将计算机连入网络,利用专门的工具软件对在网络上传输的数据包进行分析。 进行窃听的最佳位置是网络中的路由器,特别是位于关卡处的路由器,它们是数据包的集散地,在该处安装一个窃听程序,可以轻易获取很多秘密。 2.窃取(Spoofing)这种入侵方式一般出现在使用支持信任机制网络中。 在这种机制下,通常,用户只需拥有合法帐号即可通过认证,因此入侵者可以利用信任关系,冒充一方与另一方连网,以窃取信息3.会话窃夺(Spoofing)会话劫夺指入侵者首先在网络上窥探现有的会话,发现有攻击价值的会话后,便将参与会话的一方截断,并顶替被截断方继续与另一方进行连接,以窃取信息。 4.利用操作系统漏洞任何操作系统都难免存在漏洞,包括新一代操作系统。 操作系统的漏洞大致可分为两部分:一部分是由设计缺陷造成的。 包括协议方面的、网络服务方面的、共用程序库方面的等等。 另一部分则是由于使用不得法所致。 这种由于系统管理不善所引发的漏洞主要是系统资源或帐户权限设置不当。 5.盗用密码盗用密码是最简单和狠毒的技巧。 通常有两种方式: 密码被盗用,通常是因为用户不小心被他人“发现”了。 而“发现”的方法一般是“猜测”。 猜密码的方式有多种,最常见的是在登录系统时尝试不同的密码,系统允许用户登录就意味着密码被猜中了 另一种比较常见的方法是先从服务器中获得被加密的密码表,再利用公开的算法进行计算,直到求出密码为止,这种技巧最常用于Unix系统6.木马、病毒、暗门 计算机技术中的木马,是一种与计算机病毒类似的指令集合,它寄生在普通程序中,并在暗中进行某些破坏性操作或进行盗窃数据。 木马与计算机病毒的区别是,前者不进行自我复制,即不感染其他程序 暗门(trapdoor)又称后门(backdoor),指隐藏在程序中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的 病毒是一种寄生在普通程序中、且能够将自身复制到其他程序、并通过执行某些操作,破坏系统或干扰系统运行的“坏”程序。 其不良行为可能是悄悄进行的,也可能是明目张胆实施的,可能没有破坏性,也可能毁掉用户几十年的心血。 病毒程序除可从事破坏活动外,也可能进行间谍活动,例如,将服务器内的数据传往某个主机等7.隐秘通道安装防火墙、选择满足工业标准的的安全结构、对进出网络环境的存储媒体实施严格管制,可起到一定的安全防护作用,但仍然不能保证绝对安全
请在钟表上1~12的某些数前添上负号,使钟面所有数字之和等于0?你能帮助小明列出三个算式?并找到简便方法
思路之一:数字的和=78 分成两部分=78/2=39 找出数字和等于39的部分加负号就可以了 如: -2 -3 -7 -8 -9 -10
“虚拟主机”是什么概念??
虚拟主机,是在网络服务器上划分出一定的磁盘空间供用户放置站点、应用组件等,提供必要的站点功能与数据存放、传输功能。 虚拟主机技术的出现,是对Internet技术的重大贡献,是广大Internet用户的福音。 由于多台虚拟主机共享一台真实主机的资源,每个用户承受的硬件费用、网络维护费用、通信线路的费用均大幅度降低,Internet真正成为人人用得起的网络!现在,几乎所有的美国公司(包括一些家庭)均在网络上设立了自己的WEB服务器,其中有相当的部分采用的是虚拟主机!所谓虚拟主机,也叫“网站空间”就是把一台运行在互联网上的服务器划分成多个“虚拟”的服务器,每一个虚拟主机都具有独立的域名和完整的Internet服务器(支持WWW、FTP、E-mail等)功能。 一台服务器上的不同虚拟主机是各自独立的,并由用户自行管理。 但一台服务器主机只能够支持一定数量的虚拟主机,当超过这个数量时,用户将会感到性能急剧下降。 虚拟主机技术是互联网服务器采用的节省服务器硬体成本的技术,虚拟主机技术主要应用于HTTP服务,将一台服务器的某项或者全部服务内容逻辑划分为多个服务单位,对外表现为多个服务器,从而充分利用服务器硬体资源。 如果划分是系统级别的,则称为虚拟服务器。
发表评论