Check Point CloudGuard攜手AWS Lambda擴(kuò)展功能協(xié)力增強(qiáng)無服務(wù)器安全性

近年來，隨著用戶對基礎(chǔ)架構(gòu)靈活性以及投資回報率需求的提升，無服務(wù)器計算（Serverless）受到了越來越多的IT從業(yè)人士的青睞。無服務(wù)器計算可最大程度地減少安全攻擊面，并且無需借助任何計算、虛擬機(jī)、容器或網(wǎng)絡(luò)。隨著AWS Lambda最新擴(kuò)展功能的發(fā)布，組織所部署的無服務(wù)器函數(shù)的可視性和安全性得到了前所未有的提高。

無服務(wù)器可從本質(zhì)上提高安全性，因為它的受攻擊面很小，并且將一些安全職責(zé)轉(zhuǎn)移給了云提供商。例如，AWS負(fù)責(zé)修復(fù)和更新平臺軟件，包括AWS Lambda執(zhí)行環(huán)境的操作系統(tǒng)和運(yùn)行時。

盡管如此，企業(yè)仍需在以下幾個方面加強(qiáng)重視：

1.可視性。監(jiān)控和觀察無服務(wù)器函數(shù)及其位置和訪問它們的資源至關(guān)重要。知己知彼并不容易，但卻非常重要。

2.狀態(tài)管理。考慮到企業(yè)部署的函數(shù)數(shù)量之多，安全與合規(guī)狀態(tài)的管理變得愈發(fā)關(guān)鍵且不易管理。無服務(wù)器應(yīng)用包含數(shù)百甚至數(shù)千個微服務(wù)，只有每個微服務(wù)配置正確，才可確保持續(xù)安全和合規(guī)。

3.應(yīng)用安全。運(yùn)行應(yīng)用的無服務(wù)器函數(shù)既是無狀態(tài)的，也是短暫的。組織在保護(hù)應(yīng)用層時應(yīng)謹(jǐn)記這些特性，避免應(yīng)用遭到重復(fù)的上游基礎(chǔ)設(shè)施攻擊。

無服務(wù)器攻擊與普通網(wǎng)絡(luò)攻擊不同，必須要部署相應(yīng)的安全措施。首先，無服務(wù)器攻擊通常具有重復(fù)性，這意味著您很難通過辨別單一事件的好壞來檢測攻擊。其次，攻擊對象涉及多個資源。因此，要想找出并調(diào)查攻擊，用戶需要分析整個應(yīng)用流程，而不是單個資源或Lambda函數(shù)調(diào)用。

無服務(wù)器應(yīng)用保護(hù)面臨以下重大挑戰(zhàn)：

將攻擊面降到最小，讓攻擊無處下手

正確檢測攻擊，盡管面臨上述挑戰(zhàn)

抵御應(yīng)用層攻擊，同時不給無服務(wù)器函數(shù)帶來難以承受的安全負(fù)擔(dān)

為了解決此問題，Check Point CloudGuard重點研究了三大無服務(wù)器防御策略。

1.CloudGuard可在部署和生產(chǎn)過程中持續(xù)分析無服務(wù)器應(yīng)用，以便檢測安全漏洞，幫助SecOps和DevOps團(tuán)隊開展協(xié)作，快速解決安全問題。

2.CloudGuard可分析來自應(yīng)用活動和日志的實時遙測數(shù)據(jù)流，并隔離需要客戶關(guān)注的安全事件，將多個資源的小事件整理成單個事件。

3.最后，CloudGuard使用詳細(xì)的狀態(tài)和行為數(shù)據(jù)，為應(yīng)用的每個部分編譯高度定制的安全防御策略，從而最大限度地減少安全成本。

這一方法通過與無服務(wù)器提供程序（包括AWS Lambda）進(jìn)行智能、安全地集得到了進(jìn)一步強(qiáng)化。

最近，AWS Lambda發(fā)布了公開預(yù)覽版Lambda擴(kuò)展功能，它與Check Point CloudGuard進(jìn)行了深度集成，有助于改善對Lambda函數(shù)的監(jiān)控以及Lambda函數(shù)的可觀察性、安全性和可管理性。借助CloudGuard擴(kuò)展功能，組織甚至可以在函數(shù)進(jìn)入運(yùn)行時/調(diào)用之前，直接將其插入Lambda的執(zhí)行環(huán)境，并使用CloudGuard來擴(kuò)展函數(shù)。CloudGuard還可以與函數(shù)調(diào)用并行運(yùn)行，公開Lambda執(zhí)行的不同階段，并提供附加功能來防止出現(xiàn)漏洞和漏洞利用程序。

Check Point CloudGuard的定制策略、監(jiān)控和修復(fù)功能本就可以幫助組織輕松管理應(yīng)用安全，與Lambda的集成無疑會進(jìn)一步簡化后臺的無服務(wù)器安全保護(hù)。此次集成允許CloudGuard在函數(shù)調(diào)用之前、期間和之后捕獲診斷信息，并直接從Lambda環(huán)境中傳輸該信息，同時運(yùn)行強(qiáng)化的安全代理，以檢測函數(shù)活動并直接向CloudGuard發(fā)出警報。

簡言之，Check Point CloudGuard已將安全監(jiān)控數(shù)據(jù)聚合從進(jìn)程內(nèi)注入的安全層移至進(jìn)程外擴(kuò)展程序。這有助于利用更多異步消息處理功能，因此日志傳遞不會延遲函數(shù)執(zhí)行，并支持跨多個調(diào)用安全聚合日志。全面的CloudGuard解決方案涵蓋了上述所有功能，同時提供了詳細(xì)的應(yīng)用安全和防御狀態(tài)視圖，允許安全工程師、開發(fā)人員和管理員查看每個問題或事件并采取相應(yīng)措施。

CloudGuard可針對每個問題或事件提供明確的信息，包括事件的證據(jù)、存在的風(fēng)險以及短期和長期補(bǔ)救措施。向所有利益相關(guān)者提供清晰詳細(xì)的信息對于盡快緩解安全風(fēng)險至關(guān)重要。