作者:禅与计算机程序设计艺术
Serverless架构是一种新兴的云计算架构模式,该架构将应用部署到云端并由第三方服务商处理运行环境、资源管理、日志记录和弹性伸缩等任务。此外,Serverless架构无需用户购买或维护服务器,因此具备较低运营成本和快速启动时间。随着应用迁移到Serverless平台上,安全成为开发者面临的一大难题。为了保障在Serverless架构下应用的安全运行,各厂商提供了多种安全解决方案。但由于Serverless架构本身特性限制,目前安全领域对Serverless平台的研究还不够深入。因此,作者认为Serverless的应用安全应当从以下三个层次进行考虑: 第一,基础设施层面的安全,包括计算、网络和存储等基础设施的安全; 第二,服务层面的安全,包括函数运行环境的安全、依赖管理工具的安全等; 第三,应用层面的安全,即业务逻辑和数据访问的安全,包括身份验证、访问控制、输入输出过滤、SQL注入攻击防护、API接口攻击防护等。 基于以上分析,作者提出了“Serverless的应用安全”这个主题。本文将详细阐述 Serverless 的安全性问题,并通过详实的案例分析、剖析和总结提出三条可行的解决方案。
2.基本概念术语说明
2.1 什么是Serverless?
Serverless(无服务器)架构是一个新的软件开发模式,它允许第三方云提供商或框架来处理服务请求,无需担心服务器管理,只需要专注于业务实现即可。Serverless架构是一种不需要托管服务器的软件开发模型,其特点是在构建和部署应用时不需要关注服务器的问题,而是交给云供应商来完成,利用各种云资源实现自动扩容、弹性伸缩、按需付