无服务器：无服务器体系架构：应用安全范式转换

　　【温馨提醒】文章内容仅供参考,海外服务器租用\托管方案,请咨询YINGSOO客服,24小时免费电话400-630-3752

无服务器

　　所谓“范式转换”（paradigm shift）指的就是长期形成的思维习惯、价值观的改变和转移。而“无服务器”（serviceless）体系架构正是打破了人们的习惯思维，让服务器不可见，从而让整个开发部署过程更为安全高效，给所有开发部署运维人员带来的是软件架构和应用程序部署的新大陆。不过，“无服务器”架构方法并非能够解决所有问题，相反地，它也会导致一系列新的安全问题和挑战。

　　如果你问软件开发人员何谓软件架构，可能会得到五花八门的答案：软件架构“是蓝图或计划”、“概念模型”或“大局”，不一而足。毫无疑问，架构或缺少架构关系到软件的成败。良好的架构有助于扩展web或移动应用程序，而糟糕的架构可能导致严重问题，势必需要重写、花费高昂成本。

　　而“无服务器”体系架构最大的一个安全优势就是，可以帮助开发者摆脱运行后端应用程序所需的服务器设备的设置和管理更新工作。这些任务都由无服务器体系架构提供商负责，然后再以服务的方式为开发者提供所需功能，例如数据库、身份验证等。

　　然而，尽管现在开发者不用再对许多由无服务器云提供商处理的安全任务负责，但他们仍然需要负责为那些有服务器端逻辑的应用程序编写强大的代码，并确保这些应用程序代码不会存在应用程序层漏洞。而且现在看来，这种任务并不会很快消失。

　　至于云供应商方面，将负责提供用于运行这些代码的服务器，并在必要时对服务器进行缩放。执行完毕后，承担这些功能的容器会立刻停用，并且执行过程以100毫秒为单位进行度量，用户只需为运行代码过程中所消耗的资源付费，一些人将这种模式叫做功能即服务（Faas）。

　　此外，任何与应用程序本身或与之交互的云服务相关的配置同样需要安全防护。因为任何错误的设置和云服务的误配置都有可能成为无服务器体系架构的攻击入口，导致敏感机密信息的泄漏，以及为潜在的中间人攻击（mitm）提供入口点。同样地，这项任务也属于应用程序所有者的责任。

　　在“无服务器”的世界中，云供应商会和你一起分担安全责任。下图就展示了共享无服务器安全责任模型：

　　应用程序所有者：为“云内部”的所有者（owner "in" the cloud）负责。包括客户端、云端数据、传输数据（包含在公共或不可信网络-如互联网-上流动的信息，以及在私有网络-如企业或企业局域网-范围内流动的数据）、应用程序、身份和访问管理、云服务配置等。

　　Faas（功能即服务）提供商：为“构成云”的所有者（owner "of" the cloud）负责；包括操作系统+虚拟设备+容器、计算、存储、数据库、网络、地域、可用性区域（AZ）、边缘位置（edge location）等。

　　虽然无服务器体系结构引入了简捷和高效，但同时也引入了一系列新的问题和应用程序挑战：

　　1. 不断增加的攻击面

　　无服务器功能消耗来自各种事件源的数据，例如Http Apis、消息队列（message queues）、云^{[韩国服务器]}存储以及物联网（iot）设备通信等。而且无服务器体系架构几乎不像web环境那样，开发人员知道哪部分消息不应该被理解被信任的（get / post参数、Http标头等）。这大大增加了无服务器体系结构的潜在攻击面，特别是当消息使用协议和复杂的消息架构时，其中许多不能通过标准的应用程序层防护（如web应用程序防火墙）进行检查。

　　2. 攻击面的复杂性

　　无服务器体系架构中的攻击面对于某些人来说可能很难理解，因为这样的体系架构还是比较新的。许多软件开发人员和架构师尚未获得足够的安全风险经验，以及保护此类应用程序所需的适当防护措施。

　　3. 整体系统复杂性

　　针对无服务器体系架构的可视化和监控工作仍然要比监控标准软件环境更复杂。在侦察攻击的阶段，威胁实施者会试图击破网络防御和弱点，这对网络安全解决方案检测可疑行为并关闭该行为也是一个关键点。由于无服务器架构是驻留在云环境中的，所以“本地”实时网络安全解决方案是多余的，这意味着可能会错过发现早期的攻击迹象。而且尽管无服务器系统通常提供了日志记录功能，但可能不适合安全监视或审计的目的。

　　4. 安全测试不足

　　对无服务器体系架构执行安全测试要比测试标准应用程序更为复杂，尤其是当这些应用程序与远程第三方服务或后端云服务（如nosQL数据库、云存储或流处理服务）交互时。另外，自动扫描工具目前也不适用于扫描无服务器应用程序。

　　传统的安全防护措施并不适用：由于使用无服务器体系架构的组织无法访问物理（或虚拟）服务器或其操作系统，因此他们无法部署传统防护层，如端点保护、基于主机的入侵防御、web应用程序防火墙或是RA^{[新加坡cn2线路]}sp（实时应用程序自我保护）解决方案——它是一种新型应用安全保护技术，它将保护程序像疫苗一样注入到应用程序，并和应用程序融为一体，能实时检测和阻断安全攻击，使应用程序具备自我保护能力，当应用程序遇到特定漏洞和攻击时不需要人工干预就可以进行自动重新配置应对新的攻击。

　　正是这最后一条（即传统的安全防护措施并不适用）要求在无服务器体系架构的应用程序安全性方面进行大幅度的范式转换。根据定义，在无服务器体系架构中，您只能控制应用程序的代码，而且它几乎是您所拥有的唯一东西。这也就意味着，如果您需要保护自己的无服务器代码，唯一的选择就是确保自己编写了安全的代码，并将这这种安全性融入到应用程序中。

　　这实际上并不是一件坏事——无服务器计算迫使软件架构师和开发人员以将安全性构建其中的方式来解决安全问题，而不是在发生问题时再去进行安全防护。很显然，这是一种更为积极主动的方式。（来源：安全牛）

　　本公司运营理念：历经15年，致力于构建国内海外规模最大、品质最好、成本最低的互联互通网络，并根据客户各种不同的业务需求，提供国内海外服务器托管或租用、机柜租用、大带宽租用、防御攻击服务等多种增值服务及业务解决方案。机房资源遍布全球：数据中心分布全球200多个国家和地区，精选资源，密切合作。

　　如何辨别真假香港云主机服务器

　　说到香港云主机服务器，其近些年的检索关注度展现迅速发展趋势趋势，这将会是因为云计算技术的快速发展趋势，进而让IDC销售市场刮起了VPS云服务器风潮。

　　但诸事全是多面性的，应对富强的销售市场主动权，一些欠佳店家应用一般的中国香港vps来假冒香港云主机服务器，为此来获得大量比如。因而，针对缺乏经验的初学者网站站长而言，恰当辨别真假香港云主机服务器尤为重要，这儿朗玥高新科技网编就简易共享几个点。

　　第一、针对香港云主机服务器而言，这是能够独立配备的，一般容许用户独立配备包含CPU，固态盘、运行内存、网络带宽尺寸及其电脑操作系统等普遍主要参数的，而普遍的VPS服务器^{[香港虚拟空间cdn]}则沒有那么多的实际操作管理权限。因此，大伙儿在挑选香港云主机服务器时，假如许多配备主要参数都没法自主改动得话，那麼就应当慎重挑选了。

　　第二、香港云主机服务器大多数选用的是即付即用方式，对于服务项目类型根据计算时间的方法开展收费标准，而且根据收费方法开展自动控制系统。用户能够根据储存、网络带宽和用户总数开展资源整合，可预测性十分高。

　　因此现阶段销售市场上的香港云主机服务器全是即买既用的，另外用户还可以依据本身的要求开展挑选，而且以一切量化分析的方法，無限的购买应用。假如在购买香港云主机服务器时，IDC店家规定要求购买是多少时间、应用设置好的配备及其一次性支付等，这种常有将会并不是真实的香港云主机服务器，严防上当受骗。

　　第三、香港云主机服务器有着root管理权限，另外用户能够自主重新安装或更新电脑操作系统，而绝大部分的中国香港vps服务器是沒有root管理权限的，也不可以自主重转或更新电脑操作系统。因此，在购买以前能够资询主机商是不是能够重新安装或在线升级，假如不能得话还要分外留意了。

　　第四、每台香港云主机服务器常有自身的单独I^{[国外服务器购买]}P，而VPS服务器却不一定。因此假如挑选的香港云主机服务器是共享资源IP得话，那很将会就并不是真实的云服务器。此外，香港云主机服务器是互联网分布式系统群集储存，数据信息即时备份文件两份，作用很强劲的，因此大伙儿还可以根据备份数据储存方法来开展鉴别。

　　第五、应用香港云主机服务器得话，用户不用同主机商互动就能够获得自助式的计算资源工作能力，并对于服务器的時间、网络存储等都資源出示自助查询，使用起來十分便捷，这种作用优点，一般的VPS服务器全是沒有的。

　　左右几个点能够协助大伙儿鉴别香港云主机服务器的真假，以防受骗上当。此外，香港云主机服务器是根据中国香港服务器群集的(留意，Hyper-V和VMware等构架仅仅根据每台物理学机，不兼容群集服务器的)，信道容量较高，基本上非常少出现异常，可靠性能好，整体的性能提升一般中国香港VPS服务器好些。

　　最终，为了防止购买到假的香港云主机服务器，这儿朗玥高新科技本公司网编提示大伙儿，在购买中国香港香港云主机服务器时，尽量去靠谱的知名品牌主机商购买，那样才可以购到真实的香港云主机服务器，并且新能也能获得确保。

　　YINGSOO官网：YingSoo.com