5月27日，Techo Day 騰訊技術開放日活動聚焦 “Serverless架構的資源平衡管理 ”，通過行業專家對 Serverless趨勢解讀，多位騰訊云專家分享Serverless架構原理以及實戰經驗，幫助開發運維人員解惑Serverless使用過程中的諸多難題和挑戰，釋放Serverless價值。

其中，來自騰訊安全云鼎實驗室安全專家張恒，分享了主題為《架構原理：Serverless架構資源的安全攻防演繹》的內容，從Serverless的資源模型、Serverless安全風險共擔模型、Serverless安全風險和防護手段等方面進行了詳細講解。

Serverless作為全新的云原生技術趨勢固然具備彈性高效等天然優勢，但有別于原來虛擬機時代的安全環境也帶來了新的挑戰。據會中發布的新一期騰訊云工具指南用戶調研顯示，開發者認為Serverless架構最大的挑戰是“運維可靠性”及“網絡安全性”——這也是騰訊安全希望為企業數字化實現的“數字安全免疫力”。

近年來，隨著云計算的快速發展，越來越多的企業開始將應用遷移到云端，而Serverless架構作為云計算中的一種新型架構，因其彈性、可擴展和成本省心等優點得到了越來越多企業的青睞。

Serverless架構是基于事件驅動的應用程序設計模式，應用程序不再運行在單獨的虛擬機或容器上，而是被分解為更小、更簡單且獨立的函數，可以免去傳統服務器架構中的服務器管理和部署等繁瑣工作，為開發者提供更高效、更靈活的開發方式，并簡化了應用程序部署和管理的復雜度。但是，Serverless架構讓開發者享受便捷的同時，安全風險挑戰依然存在。

張恒指出，Serverless后端基礎設施和服務主要是由云廠商負責的，但是Serverless應用本身是面向企業和開發者的，Serverless應用允許開發者上傳自己的代碼到服務端，同時允許開發者對應用配置進行修改，若開發者上傳的代碼中包含漏洞或應用配置錯誤，將導致應用面臨風險，因此Serverless安全問題相對復雜。

由于Serverless應用程序不再依賴于特定的服務器或運行環境，并且可以由多個第三方服務組成，因此對其安全性進行有效保護變得尤為重要。為了解決這一問題，業界提出了共擔模型（Shared Responsibility Model），即云服務提供商和用戶之間共同承擔安全責任。

對于云廠商來說，需要保障云基礎環境安全，包括所有底層基礎設施和后端服務軟件的安全性，同時，云廠商還擔負著Serverless平臺應用整體安全防護責任；對于用戶而言，需要保證上傳到服務器端的代碼是安全的，并且應用策略配置也是安全的，避免代碼中存在漏洞或者策略配置不當導致安全風險。

1、消除Serverless風險 騰訊提出Serverless安全風險項和防護措施

Serverless一般的攻擊流程為，攻擊者通過應用程序漏洞或者組件漏洞實現初始訪問權限，當獲取到服務器權限后，攻擊者會嘗試查找并竊取用戶憑據或服務憑據，然后利用可用憑證進一步橫向攻擊其他云服務。

為了幫助技術用戶應對Serverless架構的安全風險，騰訊安全云鼎實驗室根據自身安全實踐經驗，結合國內外眾多相關案例進行了總結，提出了13個Serverless常見風險項，包括應用程序漏洞、拒絕錢包攻擊、資源濫用風險、第三方API和組件不安全接入、供應鏈攻擊風險、運行時安全風險、配置不當導致權限濫用、日志和監控不足、云環境網絡攻擊風險、云特性攻擊風險、云資源消耗攻擊風險、密鑰存儲風險、后門持久化風險，幫助開發以及運維人員可以快速識別各類風險。

此外，在幫助開發和運維人員增強識別風險能力的同時，騰訊云還總結了Serverless風險防護措施，包括使用安全漏洞緩解措施、Dos攻擊緩解與防護、Serverless濫用防護、第三方依賴庫防護、IAM訪問控制防護、Serverless平臺防護、完善安全監控和日志記錄等七個方面，幫助開發及運維人員消除各類風險，從而有效地保障Serverless應用安全。

其中，采取安全漏洞緩解措施可以有效地解決應用程序漏洞等問題，不過仍需要云廠商和用戶共同來保障。云廠商要保證Serverless應用與其他云服務組件的接口調用安全，對于重要的功能需要在功能模塊之間放置防火墻做好隔離；其次，由于Serverless通常接入應用組件和數據較多，因此需要使用HTTPS/TLS來保障數據在傳輸過程中的安全性，同時使用KMS（Key Management Service，密鑰管理系統）來保障服務運行時的密鑰使用安全，避免將密鑰等敏感數據硬編碼或寫入環境變量中。開發者在編寫代碼時，則需要遵循安全開發原則以及注意Serverless應用配置安全問題，避免出現安全漏洞等風險。

此外，用戶需要為Serverless功能執行設置適當的超時時間和磁盤使用限制，通過API調用設置請求限制，從而緩解Dos攻擊風險；并且從Serverless應用本身進行限制，通過有效監控和阻斷來提高Serverless服務濫用的門檻，完善異常事件發現和監測機制；再者，用戶還需要增強對于依賴庫的篩選意識，注意用戶角色和身份的訪問權限的配置等，從而提高安全防護。

對于云廠商而言，則需要定期清理服務器環境，刪除未使用的角色，身份和依賴項等，避免重用執行環境導致的安全風險。此外，云廠商還需要建立完善監控機制，例如使用函數級別的日志分析工具來提高監控能力，及時發現攻擊行為。

2、打造完善的Serverless安全防護體系全面保障云上資產安全

據介紹，目前，騰訊云Serverless應用服務已經具備完善的安全防護體系，確保用戶在使用Serverless架構時得到充分的安全保障。首先，在網絡層面上，騰訊云通過DDoS防護、IP黑白名單等手段保證網絡安全；其次，在存儲層面上，騰訊云通過數據加密、訪問控制等措施保證數據安全；此外，騰訊云還為用戶提供Web應用防火墻、漏洞掃描等多種安全檢測工具，幫助用戶及時發現并修復應用程序中存在的漏洞和風險。

除此之外，騰訊云還推出了一系列Serverless特定的安全防護措施。例如，在函數計算方面，騰訊云通過基于容器隔離和虛擬化技術實現函數級別資源隔離，并為函數提供自動彈性伸縮功能，以確保服務的高可用性和高效性。在API網關方面，騰訊云提供了多層次的安全驗證機制，包括訪問密鑰驗證、IP白名單等措施，以保護Web服務免受惡意攻擊。

以騰訊云云函數（SCF）為例，在密鑰安全管理方面，騰訊云使用了憑據管理系統（Secrets Manager，SSM）為用戶提供憑據的創建、檢索、更新、刪除等全生命周期的管理服務，憑據通過騰訊云密鑰管理系統（Key Management Service，KMS）進行加密存儲，基于第三方認證的硬件安全模塊（HSM）來生成和保護加密密鑰。檢索憑據時，通過 TLS 安全傳輸到服務器本地。同時，云函數也完善了配套的監控和告警機制，提供如調用次數、內存使用、并發使用、超時、代碼錯誤等多維度的監控和告警能力，幫助運維人員輕松實現應用后期維護。

例如，某互聯網客戶創建定時任務查詢數據及報表生成時，配置文件中出現敏感信息明文保存，容易產生泄漏風險，企業如何安全地管理憑據？張恒介紹道，一般像賬號密碼、敏感IP端口、數據庫連接信息等可以統稱為憑據，傳統的使用方式是把信息配置在配置文件或者配置中心。然而，大部分敏感憑據沒有進行加密保護，一旦配置文件丟失，就會造成敏感信息泄露。這種情況下，可以采用SSM（SecretsManager，憑據管理系統）對敏感數據進行統一管理，用戶可以將代碼中的硬編碼憑證（包括密碼）替換為對憑據管理系統API的調用，以便用編程的方式動態查詢憑據，由于該憑據中不包含敏感信息，可以保證敏感數據不被泄露。

此外，為了幫助技術人員更全面地了解云安全攻防內容，騰訊安全云鼎實驗室針對云上安全所面臨的威脅以及攻擊技術進行整理，從實戰角度出發，圍繞云原生務場景，通過全方面分析攻擊者戰術與手段，繪制出云安全攻防矩陣，幫助技術人員了解云服務攻擊手法。

據了解，云安全攻防矩陣共分為初始訪問、執行、持久化、權限提升、防御繞過、竊取憑據、探測、橫向運動、影響這九大階段，每個都包含了多種用以實現此階段能力的攻擊技術，覆蓋了更多維度的攻防流程和對象，從識別訪問到探測移動，再到持久防御作戰，關注整個云生態的安全穩定。

值得注意的是，在云安全攻防矩陣V3.0中，騰訊云增加了Serverless安全矩陣模塊，通過漏洞數據、攻擊事件，抽象出攻擊模型，并加入整體云安全攻防矩陣。通過了解這些攻擊技術，可以有效地幫助開發以及運維人員識別危險與風險，從而有效地保障云上資產安全。（矩陣詳情可查看云鼎實驗室官網：https://cloudsec.tencent.com/home/）

本期TechoDay圍繞“Serverless架構的資源平衡管理”也發布了新一期《騰訊云工具指南》，包括CNCF對Serverless的趨勢及挑戰研判，騰訊云產品容器、數據庫、存儲及上述騰訊安全產品在實戰中的經驗分享。歡迎點擊下方圖片下載。

在今天的安全態勢下，企業會面臨越來越多的挑戰，安全建設需要以新的理念來牽引。據悉，6月13日騰訊安全也會聯合IDC發布一個面向企業的數字安全免疫力模型，結合20多年安全實戰經驗和豐富的企業安全服務經驗，和產業各界共商安全建設之道。