容器安全厂商Twistlock在6月19日宣布，它将为其平台增加无服务器功能保护。作为Twistlock 2.5更新的一部分，新的无服务器功能将在7月份全面上市。

在对eWEEK的视频采访中，Twistlock CTO John Morello解释了新的无服务器安全技术如何工作以及为什么在无服务器部署中需要额外的安全性。无服务器，也称为功能即服务，使用户无需启动完整的服务器，虚拟机或容器映像即可运行功能。Twistlock无服务器保护支持AWS Lambda，Google Cloud Functions和Azure Functions。

“我们正在添加为无服务器功能提供运行时防御的功能，” Morello说。“我们真正要谈论的是能够主动防止异常流程在您的函数中运行。”

Twistlock 于 2015年11月发布了其第一个容器安全平台，为容器应用程序部署提供运行时安全性。2017年4月发布的Twistlock 2.0平台为该平台增加了合规性功能，并提高了对容器应用程序操作的可见性。对于容器和无服务器功能，Twistlock的平台可以查找并阻止存在的已知漏洞。此外，该平台还提供了运行时安全性，可以防止试图破坏容器或功能的攻击。

无服务器功能已经受益于运行该功能的平台上的访问控制和安全组策略。Morello指出，安全性始终与深度防御有关，并且Twistlock现在在无服务器平台的本机功能之上提供了额外的保护层。莫雷洛说，即使组织使用安全组来保护无服务器，也仍然存在具有漏洞的应用程序的风险，该漏洞使攻击者能够获得访问权限。

莫雷洛说：“我们正在设置一个真正的硬控制，说如果试图在函数中调用的进程不是正常的事情，我们将阻止它们启动。”

这个怎么运作

Twistlock无服务器运行时安全功能可以捆绑到无服务器功能中。Morello解释说，开发人员可以构建无服务器功能，然后将Twistlock二进制文件嵌入到该功能的输出文件中。他说，当一个函数启动时，初始化过程基本上就是Twistlock，它立即调用开发人员的代码，并附加一层策略保护，以确保未经授权的系统调用和进程不会运行。

Morello认为，针对任何针对无服务器的新的特定威胁，尚未启动Twistlock的扩展来保护无服务器的运行时。

他说：“如果考虑功能或容器，到最后，对于同一软件，它只是一个不同的计算环境。” “老实说，在无服务器或容器中看到的攻击通常与在虚拟机或物理服务器上运行应用程序堆栈一样。”

Morello说，攻击者实际上并不关心应用程序在什么之上运行。相反，攻击者知道某个应用程序组件具有可以利用的漏洞。

他说：“这不是无服务器攻击模式，而是对可能在无服务器环境中运行的应用程序的攻击。