至少有五分之一的組織(21%)已將無服務(wù)器計(jì)算作為其基于云的基礎(chǔ)架構(gòu)的一部分。這是Datamation最近對(duì)108名IT經(jīng)理進(jìn)行的調(diào)查結(jié)果。另有39%的人正在計(jì)劃或考慮無服務(wù)器資源。問題是，無服務(wù)器計(jì)算很快會(huì)獲得大多數(shù)企業(yè)使用的臨界質(zhì)量嗎?除此之外，安全的后果是什么?現(xiàn)有的本地系統(tǒng)和應(yīng)用程序 - 您可以將其中一些稱為“遺留” - 仍需要更傳統(tǒng)的護(hù)理和喂養(yǎng)。即使是現(xiàn)有的基于云的應(yīng)用程序仍然圍繞更加服務(wù)器化的開發(fā)和交付模式構(gòu)建。

這就是許多企業(yè)現(xiàn)在正在處理的事情 - 即使在他們開始向無服務(wù)器模式過渡時(shí)，也需要管理大量傳統(tǒng)應(yīng)用程序。AttivoNetworks的創(chuàng)始人兼副總裁Marc Feghali表示，即使應(yīng)用程序或系統(tǒng)位于云端，仍然比傳統(tǒng)IT更接近傳統(tǒng)IT而不是無服務(wù)器。“傳統(tǒng)的IT架構(gòu)使用服務(wù)器基礎(chǔ)架構(gòu)，需要管理應(yīng)用程序運(yùn)行所需的系統(tǒng)和服務(wù)，”他說。如果服務(wù)器恰好是內(nèi)部部署或基于云的，則無關(guān)緊要。“應(yīng)用程序必須始終運(yùn)行，并且組織必須啟動(dòng)應(yīng)用程序的其他實(shí)例以處理更多負(fù)載，這往往是資源密集型的。”

無服務(wù)器架構(gòu)比傳統(tǒng)云安排更加深入，傳統(tǒng)云安排仍然以服務(wù)器模型為模型。Feghali說，無服務(wù)器更精細(xì)，“而是專注于由第三方提供基礎(chǔ)設(shè)施，組織只為分解為第三方托管的功能的應(yīng)用程序提供代碼。這使應(yīng)用程序可以擴(kuò)展基于功能使用情況。由于第三方對(duì)應(yīng)用程序使用該功能的頻率收費(fèi)，而不是讓應(yīng)用程序一直運(yùn)行，因此它更具成本效益。“

如何逐步淘汰現(xiàn)有或遺留架構(gòu)?它是一個(gè)瞬間切換，還是應(yīng)該是一個(gè)更漸進(jìn)的遷移?Feghali敦促逐步遷移，密切關(guān)注安全要求。“有一些具體的用例仍然需要現(xiàn)有的遺留架構(gòu)，”無服務(wù)器計(jì)算“受到性能要求，資源限制和安全問題的限制，”Feghali指出。無服務(wù)器提供的優(yōu)勢(shì)在于它“擅長(zhǎng)降低計(jì)算成本。可以說，在可行的情況下，應(yīng)該逐步遷移到無服務(wù)器基礎(chǔ)架構(gòu)，以確保它能夠在逐步淘汰傳統(tǒng)基礎(chǔ)架構(gòu)之前處理應(yīng)用程序需求。”

Feghali說，重要的是，無服務(wù)器架構(gòu)要求以新的方式查看安全性，“通過新服務(wù)或解決方案，需要對(duì)安全框架進(jìn)行評(píng)估，以了解自身會(huì)出現(xiàn)哪些新的差距和風(fēng)險(xiǎn)。然后他們需要重新評(píng)估其控制以及完善它們以解決這些新風(fēng)險(xiǎn)模型的流程。“

安全協(xié)議和進(jìn)程在無服務(wù)器環(huán)境中有所不同。也就是說，通過使用無服務(wù)器計(jì)算，企業(yè)的攻擊面擴(kuò)大了。“攻擊界面要大得多，因?yàn)楣粽呖梢岳脩?yīng)用程序的每個(gè)組件作為切入點(diǎn)，”Feghali說，其中包括“應(yīng)用程序?qū)?，代碼，依賴關(guān)系，配置以及應(yīng)用程序運(yùn)行正常所需的任何云資源。”沒有操作系統(tǒng)擔(dān)心安全，但沒有辦法安裝端點(diǎn)或網(wǎng)絡(luò)級(jí)別的檢測(cè)解決方案，如防病毒或[入侵防護(hù)或預(yù)防系統(tǒng)[。這種缺乏可見性允許攻擊者保持不被發(fā)現(xiàn)，因?yàn)樗麄兝靡资芄舻墓δ苓M(jìn)行攻擊，無論是竊取數(shù)據(jù)還是破壞證書，密鑰和憑據(jù)以訪問組織。“

此時(shí)，根據(jù)埃里克喬納斯領(lǐng)導(dǎo)的加州大學(xué)伯克利分校的一項(xiàng)研究，引入更好地保護(hù)無服務(wù)器環(huán)境所需的安全措施可能會(huì)增加更多的成本和開銷。“無服務(wù)器計(jì)算重新調(diào)整了安全責(zé)任，將其中許多人從云用戶轉(zhuǎn)移到云提供商，而沒有從根本上改變他們，”他們的報(bào)告指出。“然而，無服務(wù)器計(jì)算也必須應(yīng)對(duì)多租戶資源共享的應(yīng)用程序分解中固有的風(fēng)險(xiǎn)。”

保護(hù)無服務(wù)器的一種方法是“遺忘算法”，加州大學(xué)伯克利分校的團(tuán)隊(duì)繼續(xù)說道。“將無服務(wù)器應(yīng)用程序分解為許多小功能的趨勢(shì)加劇了這種安全風(fēng)險(xiǎn)。雖然主要的安全問題來自外部攻擊者，但通過采用不經(jīng)意的算法可以保護(hù)網(wǎng)絡(luò)模式免受員工的影響。不幸的是，這些往往會(huì)產(chǎn)生很高的開銷。”

無服務(wù)器資源和功能的物理隔離是另一種方法 - 但這當(dāng)然來自云提供商的高價(jià)定價(jià)。Jonas和他的團(tuán)隊(duì)也看到了生成非?？焖俚臒o服務(wù)器功能實(shí)例的可能性。“提供功能級(jí)沙盒的挑戰(zhàn)是保持較短的啟動(dòng)時(shí)間，而不會(huì)以重復(fù)的函數(shù)調(diào)用之間共享狀態(tài)的方式緩存執(zhí)行環(huán)境。一種可能性是本地快照實(shí)例，以便每個(gè)函數(shù)都可以從干凈狀態(tài)開始“。

Feghali的公司Attivio Networks專注于采用“欺騙技術(shù)”，旨在提供無服務(wù)器堆棧中各種組件的更大可見性，“作為一種了解安全控制何時(shí)無法正常工作的方法，檢測(cè)具有以下功能的攻擊：通過它們，并通知內(nèi)部人員，供應(yīng)商或外部威脅行為者違反政策。“

底線是將服務(wù)器堆棧的密鑰移交給第三方云提供商并不意味著外包安全性。安全需要仍然是企業(yè)客戶的責(zé)任，因?yàn)樵诎l(fā)生違規(guī)時(shí)他們需要回答。