5月27日，Techo Day 騰訊技術(shù)開放日活動聚焦 “Serverless架構(gòu)的資源平衡管理 ”，通過行業(yè)專家對 Serverless趨勢解讀，多位騰訊云專家分享Serverless架構(gòu)原理以及實戰(zhàn)經(jīng)驗，幫助開發(fā)運維人員解惑Serverless使用過程中的諸多難題和挑戰(zhàn)，釋放Serverless價值。

其中，來自騰訊安全云鼎實驗室安全專家張恒，分享了主題為《架構(gòu)原理：Serverless架構(gòu)資源的安全攻防演繹》的內(nèi)容，從Serverless的資源模型、Serverless安全風(fēng)險共擔(dān)模型、Serverless安全風(fēng)險和防護(hù)手段等方面進(jìn)行了詳細(xì)講解。

Serverless作為全新的云原生技術(shù)趨勢固然具備彈性高效等天然優(yōu)勢，但有別于原來虛擬機(jī)時代的安全環(huán)境也帶來了新的挑戰(zhàn)。據(jù)會中發(fā)布的新一期騰訊云工具指南用戶調(diào)研顯示，開發(fā)者認(rèn)為Serverless架構(gòu)最大的挑戰(zhàn)是“運維可靠性”及“網(wǎng)絡(luò)安全性”——這也是騰訊安全希望為企業(yè)數(shù)字化實現(xiàn)的“數(shù)字安全免疫力”。

近年來，隨著云計算的快速發(fā)展，越來越多的企業(yè)開始將應(yīng)用遷移到云端，而Serverless架構(gòu)作為云計算中的一種新型架構(gòu)，因其彈性、可擴(kuò)展和成本省心等優(yōu)點得到了越來越多企業(yè)的青睞。

Serverless架構(gòu)是基于事件驅(qū)動的應(yīng)用程序設(shè)計模式，應(yīng)用程序不再運行在單獨的虛擬機(jī)或容器上，而是被分解為更小、更簡單且獨立的函數(shù)，可以免去傳統(tǒng)服務(wù)器架構(gòu)中的服務(wù)器管理和部署等繁瑣工作，為開發(fā)者提供更高效、更靈活的開發(fā)方式，并簡化了應(yīng)用程序部署和管理的復(fù)雜度。但是，Serverless架構(gòu)讓開發(fā)者享受便捷的同時，安全風(fēng)險挑戰(zhàn)依然存在。

張恒指出，Serverless后端基礎(chǔ)設(shè)施和服務(wù)主要是由云廠商負(fù)責(zé)的，但是Serverless應(yīng)用本身是面向企業(yè)和開發(fā)者的，Serverless應(yīng)用允許開發(fā)者上傳自己的代碼到服務(wù)端，同時允許開發(fā)者對應(yīng)用配置進(jìn)行修改，若開發(fā)者上傳的代碼中包含漏洞或應(yīng)用配置錯誤，將導(dǎo)致應(yīng)用面臨風(fēng)險，因此Serverless安全問題相對復(fù)雜。

由于Serverless應(yīng)用程序不再依賴于特定的服務(wù)器或運行環(huán)境，并且可以由多個第三方服務(wù)組成，因此對其安全性進(jìn)行有效保護(hù)變得尤為重要。為了解決這一問題，業(yè)界提出了共擔(dān)模型（Shared Responsibility Model），即云服務(wù)提供商和用戶之間共同承擔(dān)安全責(zé)任。

對于云廠商來說，需要保障云基礎(chǔ)環(huán)境安全，包括所有底層基礎(chǔ)設(shè)施和后端服務(wù)軟件的安全性，同時，云廠商還擔(dān)負(fù)著Serverless平臺應(yīng)用整體安全防護(hù)責(zé)任；對于用戶而言，需要保證上傳到服務(wù)器端的代碼是安全的，并且應(yīng)用策略配置也是安全的，避免代碼中存在漏洞或者策略配置不當(dāng)導(dǎo)致安全風(fēng)險。

1、消除Serverless風(fēng)險 騰訊提出Serverless安全風(fēng)險項和防護(hù)措施

Serverless一般的攻擊流程為，攻擊者通過應(yīng)用程序漏洞或者組件漏洞實現(xiàn)初始訪問權(quán)限，當(dāng)獲取到服務(wù)器權(quán)限后，攻擊者會嘗試查找并竊取用戶憑據(jù)或服務(wù)憑據(jù)，然后利用可用憑證進(jìn)一步橫向攻擊其他云服務(wù)。

為了幫助技術(shù)用戶應(yīng)對Serverless架構(gòu)的安全風(fēng)險，騰訊安全云鼎實驗室根據(jù)自身安全實踐經(jīng)驗，結(jié)合國內(nèi)外眾多相關(guān)案例進(jìn)行了總結(jié)，提出了13個Serverless常見風(fēng)險項，包括應(yīng)用程序漏洞、拒絕錢包攻擊、資源濫用風(fēng)險、第三方API和組件不安全接入、供應(yīng)鏈攻擊風(fēng)險、運行時安全風(fēng)險、配置不當(dāng)導(dǎo)致權(quán)限濫用、日志和監(jiān)控不足、云環(huán)境網(wǎng)絡(luò)攻擊風(fēng)險、云特性攻擊風(fēng)險、云資源消耗攻擊風(fēng)險、密鑰存儲風(fēng)險、后門持久化風(fēng)險，幫助開發(fā)以及運維人員可以快速識別各類風(fēng)險。

此外，在幫助開發(fā)和運維人員增強(qiáng)識別風(fēng)險能力的同時，騰訊云還總結(jié)了Serverless風(fēng)險防護(hù)措施，包括使用安全漏洞緩解措施、Dos攻擊緩解與防護(hù)、Serverless濫用防護(hù)、第三方依賴庫防護(hù)、IAM訪問控制防護(hù)、Serverless平臺防護(hù)、完善安全監(jiān)控和日志記錄等七個方面，幫助開發(fā)及運維人員消除各類風(fēng)險，從而有效地保障Serverless應(yīng)用安全。

其中，采取安全漏洞緩解措施可以有效地解決應(yīng)用程序漏洞等問題，不過仍需要云廠商和用戶共同來保障。云廠商要保證Serverless應(yīng)用與其他云服務(wù)組件的接口調(diào)用安全，對于重要的功能需要在功能模塊之間放置防火墻做好隔離；其次，由于Serverless通常接入應(yīng)用組件和數(shù)據(jù)較多，因此需要使用HTTPS/TLS來保障數(shù)據(jù)在傳輸過程中的安全性，同時使用KMS（Key Management Service，密鑰管理系統(tǒng)）來保障服務(wù)運行時的密鑰使用安全，避免將密鑰等敏感數(shù)據(jù)硬編碼或?qū)懭氕h(huán)境變量中。開發(fā)者在編寫代碼時，則需要遵循安全開發(fā)原則以及注意Serverless應(yīng)用配置安全問題，避免出現(xiàn)安全漏洞等風(fēng)險。

此外，用戶需要為Serverless功能執(zhí)行設(shè)置適當(dāng)?shù)某瑫r時間和磁盤使用限制，通過API調(diào)用設(shè)置請求限制，從而緩解Dos攻擊風(fēng)險；并且從Serverless應(yīng)用本身進(jìn)行限制，通過有效監(jiān)控和阻斷來提高Serverless服務(wù)濫用的門檻，完善異常事件發(fā)現(xiàn)和監(jiān)測機(jī)制；再者，用戶還需要增強(qiáng)對于依賴庫的篩選意識，注意用戶角色和身份的訪問權(quán)限的配置等，從而提高安全防護(hù)。

對于云廠商而言，則需要定期清理服務(wù)器環(huán)境，刪除未使用的角色，身份和依賴項等，避免重用執(zhí)行環(huán)境導(dǎo)致的安全風(fēng)險。此外，云廠商還需要建立完善監(jiān)控機(jī)制，例如使用函數(shù)級別的日志分析工具來提高監(jiān)控能力，及時發(fā)現(xiàn)攻擊行為。

2、打造完善的Serverless安全防護(hù)體系全面保障云上資產(chǎn)安全

據(jù)介紹，目前，騰訊云Serverless應(yīng)用服務(wù)已經(jīng)具備完善的安全防護(hù)體系，確保用戶在使用Serverless架構(gòu)時得到充分的安全保障。首先，在網(wǎng)絡(luò)層面上，騰訊云通過DDoS防護(hù)、IP黑白名單等手段保證網(wǎng)絡(luò)安全；其次，在存儲層面上，騰訊云通過數(shù)據(jù)加密、訪問控制等措施保證數(shù)據(jù)安全；此外，騰訊云還為用戶提供Web應(yīng)用防火墻、漏洞掃描等多種安全檢測工具，幫助用戶及時發(fā)現(xiàn)并修復(fù)應(yīng)用程序中存在的漏洞和風(fēng)險。

除此之外，騰訊云還推出了一系列Serverless特定的安全防護(hù)措施。例如，在函數(shù)計算方面，騰訊云通過基于容器隔離和虛擬化技術(shù)實現(xiàn)函數(shù)級別資源隔離，并為函數(shù)提供自動彈性伸縮功能，以確保服務(wù)的高可用性和高效性。在API網(wǎng)關(guān)方面，騰訊云提供了多層次的安全驗證機(jī)制，包括訪問密鑰驗證、IP白名單等措施，以保護(hù)Web服務(wù)免受惡意攻擊。

以騰訊云云函數(shù)（SCF）為例，在密鑰安全管理方面，騰訊云使用了憑據(jù)管理系統(tǒng)（Secrets Manager，SSM）為用戶提供憑據(jù)的創(chuàng)建、檢索、更新、刪除等全生命周期的管理服務(wù)，憑據(jù)通過騰訊云密鑰管理系統(tǒng)（Key Management Service，KMS）進(jìn)行加密存儲，基于第三方認(rèn)證的硬件安全模塊（HSM）來生成和保護(hù)加密密鑰。檢索憑據(jù)時，通過 TLS 安全傳輸?shù)椒?wù)器本地。同時，云函數(shù)也完善了配套的監(jiān)控和告警機(jī)制，提供如調(diào)用次數(shù)、內(nèi)存使用、并發(fā)使用、超時、代碼錯誤等多維度的監(jiān)控和告警能力，幫助運維人員輕松實現(xiàn)應(yīng)用后期維護(hù)。

例如，某互聯(lián)網(wǎng)客戶創(chuàng)建定時任務(wù)查詢數(shù)據(jù)及報表生成時，配置文件中出現(xiàn)敏感信息明文保存，容易產(chǎn)生泄漏風(fēng)險，企業(yè)如何安全地管理憑據(jù)？張恒介紹道，一般像賬號密碼、敏感IP端口、數(shù)據(jù)庫連接信息等可以統(tǒng)稱為憑據(jù)，傳統(tǒng)的使用方式是把信息配置在配置文件或者配置中心。然而，大部分敏感憑據(jù)沒有進(jìn)行加密保護(hù)，一旦配置文件丟失，就會造成敏感信息泄露。這種情況下，可以采用SSM（SecretsManager，憑據(jù)管理系統(tǒng)）對敏感數(shù)據(jù)進(jìn)行統(tǒng)一管理，用戶可以將代碼中的硬編碼憑證（包括密碼）替換為對憑據(jù)管理系統(tǒng)API的調(diào)用，以便用編程的方式動態(tài)查詢憑據(jù)，由于該憑據(jù)中不包含敏感信息，可以保證敏感數(shù)據(jù)不被泄露。

此外，為了幫助技術(shù)人員更全面地了解云安全攻防內(nèi)容，騰訊安全云鼎實驗室針對云上安全所面臨的威脅以及攻擊技術(shù)進(jìn)行整理，從實戰(zhàn)角度出發(fā)，圍繞云原生務(wù)場景，通過全方面分析攻擊者戰(zhàn)術(shù)與手段，繪制出云安全攻防矩陣，幫助技術(shù)人員了解云服務(wù)攻擊手法。

據(jù)了解，云安全攻防矩陣共分為初始訪問、執(zhí)行、持久化、權(quán)限提升、防御繞過、竊取憑據(jù)、探測、橫向運動、影響這九大階段，每個都包含了多種用以實現(xiàn)此階段能力的攻擊技術(shù)，覆蓋了更多維度的攻防流程和對象，從識別訪問到探測移動，再到持久防御作戰(zhàn)，關(guān)注整個云生態(tài)的安全穩(wěn)定。

值得注意的是，在云安全攻防矩陣V3.0中，騰訊云增加了Serverless安全矩陣模塊，通過漏洞數(shù)據(jù)、攻擊事件，抽象出攻擊模型，并加入整體云安全攻防矩陣。通過了解這些攻擊技術(shù)，可以有效地幫助開發(fā)以及運維人員識別危險與風(fēng)險，從而有效地保障云上資產(chǎn)安全。（矩陣詳情可查看云鼎實驗室官網(wǎng)：https://cloudsec.tencent.com/home/）

本期TechoDay圍繞“Serverless架構(gòu)的資源平衡管理”也發(fā)布了新一期《騰訊云工具指南》，包括CNCF對Serverless的趨勢及挑戰(zhàn)研判，騰訊云產(chǎn)品容器、數(shù)據(jù)庫、存儲及上述騰訊安全產(chǎn)品在實戰(zhàn)中的經(jīng)驗分享。歡迎點擊下方圖片下載。

在今天的安全態(tài)勢下，企業(yè)會面臨越來越多的挑戰(zhàn)，安全建設(shè)需要以新的理念來牽引。據(jù)悉，6月13日騰訊安全也會聯(lián)合IDC發(fā)布一個面向企業(yè)的數(shù)字安全免疫力模型，結(jié)合20多年安全實戰(zhàn)經(jīng)驗和豐富的企業(yè)安全服務(wù)經(jīng)驗，和產(chǎn)業(yè)各界共商安全建設(shè)之道。