無服務(wù)器安全

　　專為無服務(wù)器架構(gòu)而打造

　　無服務(wù)器應(yīng)用需要專用的安全方法。對于無服務(wù)器應(yīng)用從開發(fā)到運行時這一完整過程，Check Point CloudGuard 可帶來無與倫比的可見性、安全性和的全面控制。

　　Check Point CloudGuard 實現(xiàn)了無服務(wù)器 FaaS 應(yīng)用從開發(fā)到運行時這一完整安全生命周期的自動化。CloudGuard Dome9 能夠檢測安全狀況方面的問題并發(fā)出警報，在部署前提供糾正措施；通過無縫 CI/CD 集成，大幅節(jié)省開發(fā)人員的時間，確保沒有漏洞蔓延到實際環(huán)境當中。在運行時，CloudGuard 工作負載無代理函數(shù)自我保護 （FSP） 層能夠從函數(shù)層面檢測并阻止 OWASP TOP 10 攻擊，如注入、失效的身份認證、過多的權(quán)限和敏感數(shù)據(jù)泄漏；同時為每個函數(shù)生成高度準確的行為配置文件，阻止異常情況。

　　CloudGuard 能夠在部署前后分析無服務(wù)器應(yīng)用代碼，幫助最大限度改善應(yīng)用安全狀況、減小攻擊面，并簡化治理。

　　此外，CloudGuard 還通過 CloudGuard Dome9 直觀界面為整個無服務(wù)器生態(tài)系統(tǒng)（函數(shù)、觸發(fā)器、第三方庫等）提供全面的統(tǒng)一視圖。聚焦安全的可視化界面可顯示所有輸入和觸發(fā)器及潛在風險。

　　CloudGuard 突破性的深層代碼流分析技術(shù)能夠檢測配置風險，并自動生成最低級別的功能權(quán)限。該解決方案可清楚地概述推薦的修復(fù)步驟，幫助推動大規(guī)模修復(fù)安全狀況的工作。

　　此外，CloudGuard 還可以檢測配置問題并發(fā)出警報，例如未關(guān)聯(lián)的觸發(fā)器和過度配置的函數(shù)超時配置。該產(chǎn)品能夠持續(xù)掃描函數(shù)，查找已知漏洞和蘊藏的風險，確保應(yīng)用不會遭受攻擊。

　　CloudGuard 能夠持續(xù)掃描無服務(wù)器基礎(chǔ)設(shè)施、代碼和運行時環(huán)境。CloudGuard 利用機器分析和深度學(xué)習算法，構(gòu)建出應(yīng)用和函數(shù)正常行為模型，包括在資源層面自動創(chuàng)建操作白名單。您可以進一步定義自定義策略，并根據(jù)函數(shù)級別實施行為。

　　根據(jù)已學(xué)習的函數(shù)情景，CloudGuard 提供動態(tài)保護，并從調(diào)用時起開啟自動保護。CloudGuard 的函數(shù)自我保護 （FSP） 功能可檢測應(yīng)用層攻擊、發(fā)出警報并加以阻止，如無服務(wù)器 OWASP Top 10 攻擊和獨立于攻擊觸發(fā)器的異常活動。

　　CloudGuard 阻止代碼注入攻擊的示例圖：