云原生安全的焦点又回到了应用程序

Posted 2021-07-16 开源云中文社区

云原生计算带来了应用程序开发、部署和运行方式的巨大变化，毫不奇怪，它也在改变信息安全的规则。无服务器计算就是一个好例子。

Check Point软件的云安全策略师Hillel Solow一直处于这些变化的前沿。Solow与人共同创立了Protego Labs，这是无服务器安全领域的先驱。安全供应商Check Point很早就看到了Protego的价值，在2019年将其收购。

Solow解释说，Protego的起点无服务器（Serverless）是云原生计算带来的巨大变化的一个很好的例子。无服务器工作负载会弹出并在完成后立即消失。它迫使安全专业人员重新思考或“整体地”思考如何保护应用程序。攻击者可能无法使用无服务器调用创建用户帐户或进入大量用户数据，但仍然可以通过使用无服务器调用作为轴心点进行更多的进入，或以不必要的费用给帐户持有人造成损害。

Solow认为，在许多方面，无服务器安全性的最佳实践应该作为所有应用程序安全性的一般准则。最近，软件安全领域的很多人都在考虑保护应用程序之外的东西，比如网络。但无服务器提供了根据具体情况锁定单个系统和云调用的机会。之前，一个容器中的应用程序可能捆绑了数百个系统调用，因此跟踪每个应用程序做什么以及它应该（和不应该）如何与其他服务交互的成本是非常高昂的。但是，将这些调用分解为单独的操作会使安全专业人员能够对每个调用应用“最小特权”，确保没有人执行他们不应该执行的任何操作。

当然，以前也尝试过这种方法，例如SELinux，但在许多情况下，手工为系统调用制定一套策略对于任何一个开发人员来说都是太多的工作。Protego早期的卖点是自动检查无服务器代码，以查看每个调用需要做什么，然后，通过扩展，确定代码需要什么系统或云权限来完成这项工作。然后很容易授予这些权限并阻止所有其他操作，从而保护应用程序。

在无服务器的情况下，“最小特权的概念变得超级强大。如果我们可以说‘嘿，这个功能只能从这个表中读取’或者‘这个功能只能写入这个bucket’，那么应用程序的大部分攻击面就可能‘通过将这些权限降到最低限度而消失’，他说。

原文链接：

https://thenewstack.io/cloud-native-security-shifts-the-focus-back-to-the-application/