Check Point CloudGuard攜手AWS Lambda擴展功能協(xié)力增強無服務器安全性

近年來，隨著用戶對基礎架構靈活性以及投資回報率需求的提升，無服務器計算（Serverless）受到了越來越多的IT從業(yè)人士的青睞。無服務器計算可最大程度地減少安全攻擊面，并且無需借助任何計算、虛擬機、容器或網(wǎng)絡。隨著AWS Lambda最新擴展功能的發(fā)布，組織所部署的無服務器函數(shù)的可視性和安全性得到了前所未有的提高。

無服務器可從本質上提高安全性，因為它的受攻擊面很小，并且將一些安全職責轉移給了云提供商。例如，AWS負責修復和更新平臺軟件，包括AWS Lambda執(zhí)行環(huán)境的操作系統(tǒng)和運行時。

盡管如此，企業(yè)仍需在以下幾個方面加強重視：

1.可視性。監(jiān)控和觀察無服務器函數(shù)及其位置和訪問它們的資源至關重要。知己知彼并不容易，但卻非常重要。

2.狀態(tài)管理?？紤]到企業(yè)部署的函數(shù)數(shù)量之多，安全與合規(guī)狀態(tài)的管理變得愈發(fā)關鍵且不易管理。無服務器應用包含數(shù)百甚至數(shù)千個微服務，只有每個微服務配置正確，才可確保持續(xù)安全和合規(guī)。

3.應用安全。運行應用的無服務器函數(shù)既是無狀態(tài)的，也是短暫的。組織在保護應用層時應謹記這些特性，避免應用遭到重復的上游基礎設施攻擊。

無服務器攻擊與普通網(wǎng)絡攻擊不同，必須要部署相應的安全措施。首先，無服務器攻擊通常具有重復性，這意味著您很難通過辨別單一事件的好壞來檢測攻擊。其次，攻擊對象涉及多個資源。因此，要想找出并調查攻擊，用戶需要分析整個應用流程，而不是單個資源或Lambda函數(shù)調用。

無服務器應用保護面臨以下重大挑戰(zhàn)：

將攻擊面降到最小，讓攻擊無處下手

正確檢測攻擊，盡管面臨上述挑戰(zhàn)

抵御應用層攻擊，同時不給無服務器函數(shù)帶來難以承受的安全負擔

為了解決此問題，Check Point CloudGuard重點研究了三大無服務器防御策略。

1.CloudGuard可在部署和生產過程中持續(xù)分析無服務器應用，以便檢測安全漏洞，幫助SecOps和DevOps團隊開展協(xié)作，快速解決安全問題。

2.CloudGuard可分析來自應用活動和日志的實時遙測數(shù)據(jù)流，并隔離需要客戶關注的安全事件，將多個資源的小事件整理成單個事件。

3.最后，CloudGuard使用詳細的狀態(tài)和行為數(shù)據(jù)，為應用的每個部分編譯高度定制的安全防御策略，從而最大限度地減少安全成本。

這一方法通過與無服務器提供程序（包括AWS Lambda）進行智能、安全地集得到了進一步強化。

最近，AWS Lambda發(fā)布了公開預覽版Lambda擴展功能，它與Check Point CloudGuard進行了深度集成，有助于改善對Lambda函數(shù)的監(jiān)控以及Lambda函數(shù)的可觀察性、安全性和可管理性。借助CloudGuard擴展功能，組織甚至可以在函數(shù)進入運行時/調用之前，直接將其插入Lambda的執(zhí)行環(huán)境，并使用CloudGuard來擴展函數(shù)。CloudGuard還可以與函數(shù)調用并行運行，公開Lambda執(zhí)行的不同階段，并提供附加功能來防止出現(xiàn)漏洞和漏洞利用程序。

Check Point CloudGuard的定制策略、監(jiān)控和修復功能本就可以幫助組織輕松管理應用安全，與Lambda的集成無疑會進一步簡化后臺的無服務器安全保護。此次集成允許CloudGuard在函數(shù)調用之前、期間和之后捕獲診斷信息，并直接從Lambda環(huán)境中傳輸該信息，同時運行強化的安全代理，以檢測函數(shù)活動并直接向CloudGuard發(fā)出警報。

簡言之，Check Point CloudGuard已將安全監(jiān)控數(shù)據(jù)聚合從進程內注入的安全層移至進程外擴展程序。這有助于利用更多異步消息處理功能，因此日志傳遞不會延遲函數(shù)執(zhí)行，并支持跨多個調用安全聚合日志。全面的CloudGuard解決方案涵蓋了上述所有功能，同時提供了詳細的應用安全和防御狀態(tài)視圖，允許安全工程師、開發(fā)人員和管理員查看每個問題或事件并采取相應措施。

CloudGuard可針對每個問題或事件提供明確的信息，包括事件的證據(jù)、存在的風險以及短期和長期補救措施。向所有利益相關者提供清晰詳細的信息對于盡快緩解安全風險至關重要。