无服务器安全

Q: 如何防御 无服务器安全?

针对 无服务器安全 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

无服务器安全是什么?

无服务器安全针对 AWS Lambda、Azure Functions、Google Cloud Functions 等基于事件和函数的无服务器工作负载的安全实践,其中底层服务器由云厂商管理。

无服务器把补丁和主机安全转交给云厂商,但带来了新的风险:函数数量众多且短暂运行、事件源(S3、SQS、EventBridge、API Gateway)杂乱、IAM 权限与函数紧耦合。关键控制点包括为每个函数配置最小权限执行角色、对部署包进行签名并附带 SBOM、依赖扫描(SCA)、对不可信事件载荷进行校验、加密环境变量、设置较短超时和并发上限以抑制滥用,以及借助 RASP 或平台 eBPF 遥测。OWASP 无服务器 Top 10 和云安全联盟指南描述了事件注入、权限过大、不安全部署配置等常见问题。

● 示例

01
一段 AWS Lambda 因 CloudFormation 输入错误而被授予 s3:* 全桶权限。
02
Datadog 或 Snyk 扫描 Lambda 依赖,发现存在漏洞的 npm 包。

● 常见问题

无服务器安全是什么?

针对 AWS Lambda、Azure Functions、Google Cloud Functions 等基于事件和函数的无服务器工作负载的安全实践,其中底层服务器由云厂商管理。它属于网络安全的云安全分类。

无服务器安全是什么意思?

针对 AWS Lambda、Azure Functions、Google Cloud Functions 等基于事件和函数的无服务器工作负载的安全实践,其中底层服务器由云厂商管理。

如何防御无服务器安全?

针对无服务器安全的防御通常结合技术控制与运营实践,详见上方完整定义。

无服务器安全还有哪些其他名称?

常见的别称包括: FaaS 安全, Lambda 安全。