云安全
无服务器安全
别称: FaaS 安全, Lambda 安全
定义
针对 AWS Lambda、Azure Functions、Google Cloud Functions 等基于事件和函数的无服务器工作负载的安全实践,其中底层服务器由云厂商管理。
无服务器把补丁和主机安全转交给云厂商,但带来了新的风险:函数数量众多且短暂运行、事件源(S3、SQS、EventBridge、API Gateway)杂乱、IAM 权限与函数紧耦合。关键控制点包括为每个函数配置最小权限执行角色、对部署包进行签名并附带 SBOM、依赖扫描(SCA)、对不可信事件载荷进行校验、加密环境变量、设置较短超时和并发上限以抑制滥用,以及借助 RASP 或平台 eBPF 遥测。OWASP 无服务器 Top 10 和云安全联盟指南描述了事件注入、权限过大、不安全部署配置等常见问题。
示例
- 一段 AWS Lambda 因 CloudFormation 输入错误而被授予 s3:* 全桶权限。
- Datadog 或 Snyk 扫描 Lambda 依赖,发现存在漏洞的 npm 包。
相关术语
Function as a Service (FaaS)
Function as a Service (FaaS) — definition coming soon.
云安全
用于保护托管在公有云、私有云或混合云环境中的数据、应用和基础设施的一整套策略、控制措施和技术。
CWPP(云工作负载保护平台)
一种保护云端工作负载(虚拟机、容器和无服务器函数)从构建到运行时整个生命周期的平台。
CNAPP(云原生应用保护平台)
一种集成式安全平台,融合 CSPM、CWPP、CIEM、IaC 扫描与运行时检测,用于保护云原生应用从构建到运行时的全过程。
最小权限原则
一种安全原则,要求向每个用户、进程或服务仅授予其完成职责所必需的最少权限,绝不多余。
API Security
API Security — definition coming soon.