雲計算對應用程序和架構設計的安全影響

一.默認隔離
二.使用微服務
三.不可變的基礎設施
四. Paas平臺和“無服務器”體系架構
五. 事件驅動安全

應用安全包含了一個非常複雜和龐大的知識體系:從早期設計和威脅建模去維護 和防護生產應用程序。隨著應用程序開發實踐的不斷進步和採用新的流程、模式和技術，應用安全也在以難以置信的速度發展。雲計算是這些進步的最大驅動因素之一， 它會產生相應的壓力，使應用安全的狀態發生變化，以確保這種進展儘可能安全地繼續下去。本篇文章旨為希望在雲計算環境中安全的構建和部署應用程序，特別是 PaaS 和 IaaS 的軟件開發團隊而提出的有助於減少常見安全問題若干建議

一.默認隔離

應用程序可以輕鬆地在屬於自己隔離的雲環境中運行，根據提供者的不同，可能是一個單獨的虛擬網絡（虛擬專有網絡VPC），也可能是一個一個單獨的賬號/子賬號。使用賬戶或者子賬戶結構可以有助於實現管理平臺以及權限的隔離，可以在開通高度限制性的生產賬戶的同時，開通更廣泛的開發賬戶權限。

二.使用微服務

在雲計算中，更容易將不同的服務隔離到不同的服務器/容器中，一方面，不再需要最大化的利用物理服務器，另外一方面，即使在使用較小的計算機節點處理負載時，自動伸縮組也可以確保應用程序的可伸縮性因為每個節點都做得更少，所以更容易鎖定並最小化運行在它上的服務。雖然這提高了每個負載的安全性(當使用正確時)，但為了確保所有 微服務之間的通信，確保任何服務代理、調度和路由都是安全配置的，也確 實增加了一些開銷。

三.不可變的基礎設施

目前不可變的基礎設施在雲中變得越來越普遍，禁用遠程登陸到不可變的服務器/容器，添加文件完整性監控以及將不可變技術集成到事件恢復計劃中來擴展這些優點。

四. Paas平臺和“無服務器”體系架構

Paas平臺和無服務都是直接在雲提供商平臺上運行相關負載實例，自己不用去管理底層服務和操作系統）
當雲提供商承擔平臺/無服務器設置的安全性並滿足您的要求時，您可以通過使用Paas和無服務體系架構，這樣做的好處是可以極大的降低了攻擊面
無服務器平臺是在雲提供商的網絡上運行的，其原理通過API或Https流量與消費者的組件通信，這樣就消除了網絡攻擊路徑，即使攻擊者破壞了服務器，攻擊者也僅限於使用API或者HTTs傳輸，像端口掃描，端口識別這些攻擊對於無服務器平臺都是無濟於事的。
使用“無服務器”平臺，對雲提供商側來看，有很大的經濟動機來維持極高的安全級別，並更新自己的環境，大大消除了這些安全與消費者保持一直的日常責任，但它不會永遠消除安全責任，個人認為與一個可靠的雲提供商合作，最重要的一點這個雲提供商具有良好的業績。

五. 事件驅動安全

雲提供商，在某些情況下，會檢測到各種各樣的操作活動，例如，修改代碼，將文件上傳到指定的對象存儲位置等，從而可以通過通知消息觸發代碼執行，安全性可以為安全操作定義事件，並使用事件驅動的功能來觸發自動通知、評估、補救或其他安全流程。