无服务器架构的安全保障:从代码签名到API保护
立即解锁
发布时间: 2025-09-05 00:37:36 阅读量: 10 订阅数: 20 AIGC 
# 无服务器架构的安全保障:从代码签名到API保护
## 1. 交付管道与运行时版本
在维护交付管道时,它们很可能运行在第三方提供的虚拟机和运行时环境中。而且,不必在所有管道和函数中使用相同的运行时版本。例如,即使Lambda运行时还不支持最新版本的Node.js,也可以在管道中使用它。
## 2. SLSA安全框架
SLSA(Supply chain Levels for Software Artifacts)安全框架是一个“标准和控制清单,用于防止篡改、提高完整性,并保护软件包和基础设施”。它致力于将整个软件供应链从“足够安全”提升到最高弹性水平。如果你的安全成熟度较高,可以使用该框架来衡量和改进软件供应链的安全性。可以参考SLSA文档来开始使用。另外,OWASP的软件组件验证标准(SCVS)也是一个衡量供应链安全的框架。
## 3. Lambda代码签名
软件供应链的最后一步是将函数代码打包并部署到云端。此时,函数通常由业务逻辑(自己编写的代码)和函数依赖项中列出的第三方库(他人编写的代码)组成。
Lambda提供了在部署代码前对其进行签名的选项。这使得Lambda服务能够验证部署是否由可信源发起,以及代码是否未被篡改。Lambda会进行多项验证检查,包括自签名后软件包是否未被修改以及签名本身是否有效。
### 3.1 创建签名配置文件
要对代码进行签名,首先需要创建一个或多个签名配置文件。这些配置文件可以映射到应用程序使用的环境和账户。例如,可以为每个AWS账户创建一个签名配置文件,或者为每个函数创建一个签名配置文件以实现更高的隔离性和安全性。签名配置文件的CloudFormation资源示例如下:
```json
{
"Type" : "AWS::Signer::SigningProfile",
"Properties" : {
"PlatformId" : "AWSLambda-SHA384-ECDSA"
}
}
```
### 3.2 配置代码签名
定义签名配置文件后,可以使用它为函数配置代码签名。示例如下:
```json
{
"Type" : "AWS::Lambda::CodeSigningConfig",
"Properties" : {
"AllowedPublishers" : [
{
"SigningProfileVersionArns" : [
"arn:aws:signer:us-east-1:123456789123:/signing-profiles/my-profile"
]
}
],
"CodeSigningPolicies" : {
"UntrustedArtifactOnDeployment": "Enforce"
}
}
}
```
### 3.3 分配代码签名配置
最后,将代码签名配置分配给函数:
```json
{
"Type" : "AWS::Lambda::Function",
"Properties" : {
"CodeSigningConfigArn" : [
"arn:aws:lambda:us-east-1:123456789123:code-signing-config:csc-config-id"
]
}
}
```
部署此函数时,Lambda服务将验证代码是否由可信源签名,以及自签名后是否未被篡改。
## 4. 保护无服务器API
根据OWASP十大威胁列表,对Web应用程序的头号威胁是访问控制失效。虽然无服务器架构有助于减轻访问控制失效带来的一些威胁,但在这方面仍需努力。
在应用零信任安全模型时,必须对每个隔离组件以及系统边界应用访问控制。对于大多数无服务器应用程序,安全边界通常是API网关端点。如果构建的无服务器应用程序向公共互联网暴露API,则必须为该API设计并实施适当的访问控制机制。
### 4.1 API网关访问控制选项
Amazon API Gateway提供两种类型的API:REST API和HTTP API,它们具有不同的功能和成本。以下是API网关的访问控制选项总结:
| 访问控制策略 | 描述 | REST API | HTTP API |
| --- | --- | --- | --- |
| Cognito授权器 | 与亚马逊Cognito访问管理服务和API Gateway REST API直接集成。Cognito客户端凭证交换为访问令牌,直接与Cognito进行验证。 | 是 | 否 |
| JWT授权器 | 可用于将使用JSON Web Tokens(JWT)进行访问控制的访问管理服务(如Amazon Cognito或Okta)与API Gateway HTTP API集成。 | 否 | 是 |
| Lambda授权器 | 当使用除Cognito之外的访问管理服务时,可使用Lambda函数实现自定义授权逻辑,或在无法进行基于用户的身份验证时验证传入的Webhook消息。 | 是 | 是 |
### 4.2 使用Amazon Cognito保护REST API
虽然有许多访问管理服务和身份提供者可供选择,如Okta和Auth0,但这里重点介绍使用Cognito来保护REST API,因为它是AW
400次
会员资源下载次数
300万+
优质博客文章
1000万+
优质下载资源
1000万+
优质文库回答
0
0
复制全文
相关推荐
最低0.47元/天 解锁专栏
买1年送3月
百万级
高质量VIP文章无限畅学
千万级
优质资源任意下载
千万级
优质文库回答免费看
立即解锁
专栏目录
最新推荐
开源安全工具:Vuls与CrowdSec的深入剖析
### 开源安全工具:Vuls与CrowdSec的深入剖析
#### 1. Vuls项目简介
Vuls是一个开源安全项目,具备漏洞扫描能力。通过查看代码并在本地机器上执行扫描操作,能深入了解其工作原理。在学习Vuls的过程中,还能接触到端口扫描、从Go执行外部命令行应用程序以及使用SQLite执行数据库操作等知识。
#### 2. CrowdSec项目概述
CrowdSec是一款开源安全工具(https://github.com/crowdsecurity/crowdsec ),值得研究的原因如下:
- 利用众包数据收集全球IP信息,并与社区共享。
- 提供了值得学习的代码设计。
- Ge
信息系统集成与测试实战
### 信息系统集成与测试实战
#### 信息系统缓存与集成
在实际的信息系统开发中,性能优化是至关重要的一环。通过使用 `:timer.tc` 函数,我们可以精确测量执行时间,从而直观地看到缓存机制带来的显著性能提升。例如:
```elixir
iex> :timer.tc(InfoSys, :compute, ["how old is the universe?"])
{53,
[
%InfoSys.Result{
backend: InfoSys.Wolfram,
score: 95,
text: "1.4×10^10 a (Julian years)\n(time elapsed s
实时资源管理:Elixir中的CPU与内存优化
### 实时资源管理:Elixir 中的 CPU 与内存优化
在应用程序的运行过程中,CPU 和内存是两个至关重要的系统资源。合理管理这些资源,对于应用程序的性能和可扩展性至关重要。本文将深入探讨 Elixir 语言中如何管理实时资源,包括 CPU 调度和内存管理。
#### 1. Elixir 调度器的工作原理
在 Elixir 中,调度器负责将工作分配给 CPU 执行。理解调度器的工作原理,有助于我们更好地利用系统资源。
##### 1.1 调度器设计
- **调度器(Scheduler)**:选择一个进程并执行该进程的代码。
- **运行队列(Run Queue)**:包含待执行工
Ansible高级技术与最佳实践
### Ansible高级技术与最佳实践
#### 1. Ansible回调插件的使用
Ansible提供了多个回调插件,可在响应事件时为Ansible添加新行为。其中,timer插件是最有用的回调插件之一,它能测量Ansible剧本中任务和角色的执行时间。我们可以通过在`ansible.cfg`文件中对这些插件进行白名单设置来启用此功能:
- **Timer**:提供剧本执行时间的摘要。
- **Profile_tasks**:提供剧本中每个任务执行时间的摘要。
- **Profile_roles**:提供剧本中每个角色执行时间的摘要。
我们可以使用`--list-tasks`选项列出剧
RHEL9系统存储、交换空间管理与进程监控指南
# RHEL 9 系统存储、交换空间管理与进程监控指南
## 1. LVM 存储管理
### 1.1 查看物理卷信息
通过 `pvdisplay` 命令可以查看物理卷的详细信息,示例如下:
```bash
# pvdisplay
--- Physical volume ---
PV Name /dev/sda2
VG Name rhel
PV Size <297.09 GiB / not usable 4.00 MiB
Allocatable yes (but full)
PE Size 4.00 MiB
Total PE 76054
Free PE 0
Allocated PE 76054
构建交互式番茄钟应用的界面与功能
### 构建交互式番茄钟应用的界面与功能
#### 界面布局组织
当我们拥有了界面所需的所有小部件后,就需要对它们进行逻辑组织和布局,以构建用户界面。在相关开发中,我们使用 `container.Container` 类型的容器来定义仪表盘布局,启动应用程序至少需要一个容器,也可以使用多个容器来分割屏幕和组织小部件。
创建容器有两种方式:
- 使用 `container` 包分割容器,形成二叉树布局。
- 使用 `grid` 包定义行和列的网格。可在相关文档中找到更多关于 `Container API` 的信息。
对于本次开发的应用,我们将使用网格方法来组织布局,因为这样更易于编写代码以
容器部署与管理实战指南
# 容器部署与管理实战指南
## 1. 容器部署指导练习
### 1.1 练习目标
在本次练习中,我们将使用容器管理工具来构建镜像、运行容器并查询正在运行的容器环境。具体目标如下:
- 配置容器镜像注册表,并从现有镜像创建容器。
- 使用容器文件创建容器。
- 将脚本从主机复制到容器中并运行脚本。
- 删除容器和镜像。
### 1.2 准备工作
作为工作站机器上的学生用户,使用 `lab` 命令为本次练习准备系统:
```bash
[student@workstation ~]$ lab start containers-deploy
```
此命令将准备环境并确保所有所需资源可用。
#
基于属性测试的深入解析与策略探讨
### 基于属性测试的深入解析与策略探讨
#### 1. 基于属性测试中的收缩机制
在基于属性的测试中,当测试失败时,像 `stream_data` 这样的框架会执行收缩(Shrinking)操作。收缩的目的是简化导致测试失败的输入,同时确保简化后的输入仍然会使测试失败,这样能更方便地定位问题。
为了说明这一点,我们来看一个简单的排序函数测试示例。我们实现了一个糟糕的排序函数,实际上就是恒等函数,它只是原封不动地返回输入列表:
```elixir
defmodule BadSortTest do
use ExUnit.Case
use ExUnitProperties
pro
轻量级HTTP服务器与容器化部署实践
### 轻量级 HTTP 服务器与容器化部署实践
#### 1. 小需求下的 HTTP 服务器选择
在某些场景中,我们不需要像 Apache 或 NGINX 这样的完整 Web 服务器,仅需一个小型 HTTP 服务器来测试功能,比如在工作站、容器或仅临时需要 Web 服务的服务器上。Python 和 PHP CLI 提供了便捷的选择。
##### 1.1 Python 3 http.server
大多数现代 Linux 系统都预装了 Python 3,它自带 HTTP 服务。若未安装,可使用包管理器进行安装:
```bash
$ sudo apt install python3
```
以
PowerShell7在Linux、macOS和树莓派上的应用指南
### PowerShell 7 在 Linux、macOS 和树莓派上的应用指南
#### 1. PowerShell 7 在 Windows 上支持 OpenSSH 的配置
在 Windows 上使用非微软开源软件(如 OpenSSH)时,可能会遇到路径问题。OpenSSH 不识别包含空格的路径,即使路径被单引号或双引号括起来也不行,因此需要使用 8.3 格式(旧版微软操作系统使用的短文件名格式)。但有些 OpenSSH 版本也不支持这种格式,当在 `sshd_config` 文件中添加 PowerShell 子系统时,`sshd` 服务可能无法启动。
解决方法是将另一个 PowerS
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
