Serverless也不是百分百的安全

坚持原创，写好每一篇文章

Serverless安全吗？如果一个系统不能保证它的安全性，那么这个系统不会是一个好系统。当今社会，一个系统的安全性越来越受到重视，尤其是大国之间信息战、网络战的打响。

Serverless与传统应用

Serverless看起来很像比传统的架构更加的脆弱，因为它的数据源很多导致攻击面很广、攻击方式可以有更多的选择，它的分布式函数会让它比传统的引用在追踪问题上更加复杂。一些传统的安全防护措施似乎在Serverless这里统统失效。

Serverless遇到的攻击

要想提高Serverless的安全性，我们首先要知道Serverless主要面临什么样的攻击，知己知彼，百战不殆。

Serverless本身

在身份认证方面，Serverless如果在用户请求前进行了身份认证，而Serverless内部之间的调用不需要进行安全认证，那么黑客有可能利用这一点对没有设置身份认证的功能进行攻击，还有就是配置文件的泄露，包括将一些重要的授权配置信息上传到了GitHub，对权限的控制不当导致权限被黑客拿到。Serverless的函数日志监控功能还不是很成熟，所以在监控问题上海存在不足，不能及时得到响应。

代码层面

如果你用过jdbc，你可能会了解sql注入的问题，这是攻击应用的一种常用的手段，它是通过对SQL的拼接，以网络请求的方式将sql传入后台，从而改变数据库数据的一种攻击方式。Serverless支持很多触发器，而sql注入这类问题很可能就是以触发器为切入点实施攻击。在代码层面，由于Serverless中很多函数，黑客有可能利用函数发送大量的恶意请求来消耗我们的资源。

在开发过程中我们还可能引入的依赖包本身就存在漏洞，就像之前火了的log4j漏洞的问题。

总结

这篇文章我们讲了Serverless相比传统应用来说面临更多的安全性问题，很多传统应用的防护措施对Serverless来说失效，然后介绍了Serverless遇到的一些黑客攻击的方式和安全性的点。知己知彼，才能百战百胜，知道黑客通过什么来进行攻击的，我们才能为Serverless建造一道道防护墙。

❤️ 感谢大家

如果你觉得这篇内容对你挺有有帮助的话：

1. 欢迎关注我❤️，点赞👍🏻，评论🤤，转发🙏
2. 关注周结论本人，定期为你推送好文，还有群聊不定期抽奖活动，可以畅所欲言，与大神们一起交流，一起学习。
3. 有不当之处欢迎批评指正。