通过将更多责任转移给开发人员，提高效率

关键字: [Amazon Web Services re:Invent 2023, Amazon Web Services Config and AWS Inspector, Governance For Serverless Applications, Detective Controls For Lambda Functions, Proactive Controls For Lambda Deployments, Code Signing For Lambda Artifacts, Vulnerability Scanning For Lambda Dependencies]

本文字数: 1100, 阅读完需: 6 分钟

视频

如视频不能正常播放，请前往bilibili观看本视频。>> https://www.bilibili.com/video/BV1hw411h77Q

导读

基于企业的 Serverless 开发人员通常会受到约束和法规遵从性检查，这可能会减慢部署和反馈循环。Shift-left 实践可以为开发人员提供工具，帮助他们在提交到存储库之前测试和验证代码遵从性。在本论坛中，您将了解如何通过加快反馈周期来加速无服务器开发，探索最佳实践和工具。观看现场时演示，了解如何在符合企业治理要求的同时改善开发人员在构建无服务器应用程序时的体验。

演讲精华

以下是小编为您整理的本次演讲的精华，共800字，阅读时间大约是4分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。

Higgy Park，一位专门为企业客户提供无服务器平台构建和分发的专业解决方案架构师，在亚马逊云科技（Amazon Web Services）探讨了在设计无服务器系统时如何在开发人员的速度与组织的安全需求之间取得平衡。他将这种努力与在高速公路上以75英里每小时的速度驾驶进行有趣的类比。尽管在这样的高速下，刹车和安全带等安全机制仍然是必不可少的。同样，开发者希望在短时间内构建新功能，但平台团队需要优先保证合规性和安全性。目标是找到一个方法，既能以75英里的时速实现快速创新，又能通过刹车实现谨慎的管理。

Capital One的高级资深工程师Sam Dingler详细解释了典型的部署流程。开发者首先在本地编写代码，然后提交到存储库，从而触发管道来构建、验证并将产品分发到生产环境。他们将重点关注在整个管道中纳入安全措施。一些常见的控制措施包括防止公共访问，限制到亚马逊云科技虚拟专用网络（VPC），避免互联网出口以避免数据泄露，以及避免使用过时的运行时，如Python 3.7。这些控制措施将随着时间和孩子的成长而不断调整。开发者工具会逐渐吸收新的策略，但生产环境中仍然包含过去在使用过时策略的情况下部署的现有资源。

他们建议采用主动预防措施并在部署前实施，同时对现有资源采取事后检测措施。主动预防可以防止问题的发生，而事后检测可以回顾性地识别问题。

为了进行事后检测，亚马逊云科技Config可以监控和记录对40%的资源（如新Lambda函数）的操作，并激活规则以对发现的不合规资源采取行动。控制台会显示合规状态，并允许深入查看违规行为，例如函数的错误标签。Config还可以将发现的结果导出到亚马逊简存储服务（Amazon S3），以便亚马逊Athena和亚马逊QuickSight仪表板能够分析应用于函数的层级的分布。

开放政策代理（OPA）是一种声明式的技术，用于定义不合规的配置（如未连接到亚马逊云科技VPC的Lambda函数）并采取相应的行动。OPA策略可以部署到开发人员的工作站和管道中，以评估资源。

以下是对亚马逊云科技关于管道、策略和管理的部分内容进行修改和润色后的结果。这些内容涉及到了源控制、管道构建以及将策略分发给S3桶等环境。在亚马逊云科技的账户中，可以通过事件或日程安排来激活针对策略对实时资源进行评估的功能。

通知应包括详细的有用信息，如账户、地区、控制ID（例如123.v1）和修复步骤。已知的控制ID和文档有助于开发者理解。

主动控制可以防止不良更改提前发生，而不是在以后检测问题。CloudFormation Guard会在部署前根据规则验证模板。它可以本地运行也可以在管道中运行。例如，它可以在模板中阻止过时的Lambda运行时，比如Python 3.7。亚马逊云科技的Config也可以在预创建钩子中阻止部署，如果禁用了X-Ray追踪。

签名配置会对艺术品进行加密签名，然后在部署时进行验证。这确保代码未更改且来自可信来源。亚马逊云科技签名器在构建过程中签名，然后Lambda在部署时通过检查签名来进行验证。未经授权的更改将被阻止。

亚马逊Inspector在运行时为依赖项和代码中的漏洞进行扫描。扫描在新函数、更新和在漏洞数据库中发布的CVE上执行。它会审查应用程序的依赖项和标准扫描以及开发者编写的代码。Inspector通过标签排除加固的函数以减少扫描不活动函数的成本。控制台显示了对45%的函数的覆盖范围以及对漏洞的详细信息，例如过时的LangChain依赖项。

中央艺术品库镜像公共库但扫描所有艺术品。开发人员、管道和内部库使用它，以便一切都被扫描。这集中了扫描工作。

除了工具、流程和团队协助治理外，还可以通过标记资源来帮助识别联系人以获取发现的信息。CMDB存储应用程序的元数据，如所有者和版本。通过培训和使用文档与开发人员进行反馈循环，以防止问题的产生。将修复措施视为敏捷修复的后备选项。

谨慎地进行策略更改以避免突然破坏现有资源。使用日程安排、目标帐户和通知来清查并通知新出现的不合规资源。与现有的系统集成，例如Jira或GitHub问题。

总的来说，他们深入研究了软件交付生命周期中各种治理技术，包括主动控制、检测控制、签名、扫描、过程和人员等。这个视频提供了大量的有用资源，帮助您更深入地了解亚马逊云科技上的安全合规无服务器开发。

全面的演讲内容涉及了在构建无服务器系统时如何在创新和治理之间取得平衡的关键观点，并为团队提供了一系列策略，以便在满足组织需求的同时提高开发者的工作效率。参会者肯定能在构建安全的、可持续的云平台方面取得更好的成果。

下面是一些演讲现场的精彩瞬间：

资深工程师Sam Dingler目前在Capital One担任高级工程师。

在亚马逊云科技的re:Invent上，他向观众分享了自己的见解和经验。

亚马逊云科技的领导者通过一个驾驶汽车的类比来说明云计算开发中治理的重要性。

在构建无服务器应用程序的过程中，演讲者探讨了如何在追求开发速度的同时，实现治理和合规性的需求之间的平衡。

此外，领导者还讨论了如何防范公共访问并将出口限制为公共互联网等亚马逊云科技Lambda函数的安全措施。

演讲者还表示，随着开发者工具和生产环境的不断演变，需要适时更新以满足新的控制和功能需求。

亚马逊云科技Config具有两种工作模式：config和detective mode。

总结

这段演讲探讨了在创建无服务器应用程序时，如何在提高开发者效率的同时维持治理和合规性的策略。

首先，组织应采用既有的预防性控制和探测性控制。例如，如CloudFormation Guard这样的预防性控制可防止不规范资源的部署。而诸如亚马逊云科技的Config这样的探测性控制则可以识别那些逐渐偏离合规性的资源。同时运用这两种控制方法可使组织在预防错误发生的同时，还能在事后发现问题。

其次，工具应在软件交付生命周期中整合为一体。扫描和策略验证应在开发者的计算机上、代码库中、管道和运行过程中进行。这为开发者提供了统一的体验和快速的反馈循环。像CloudFormation Guard这样的工具和集中的工件库有助于实现这一目标。

最后，过程和文化对治理至关重要。通过领导层的外部联系、培训以及将合规性融入团队的日常工作中等方法，可以实现这一目标。最终，治理应能支持开发者的发展速度，而非阻碍其进程。

综上所述，通过结合预防性控制、探测性控制、集成工具和文化变革的这一分层方法，组织可在维护无服务器部署的治理的同时提高效率。关键在于在业务速度和组织的监管之间找到平衡点。

演讲原文

https://blog.csdn.net/just2gooo/article/details/134791566

想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！

2023亚马逊云科技re:Invent全球大会 - 官方网站

点击此处，一键获取亚马逊云科技全球最新产品/服务资讯！

点击此处，一键获取亚马逊云科技中国区最新产品/服务资讯！

即刻注册亚马逊云科技账户，开启云端之旅！

【免费】亚马逊云科技“100 余种核心云服务产品免费试用”

【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”

亚马逊云科技是谁？

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者，自 2006 年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。亚马逊云科技可以支持几乎云上任意工作负载。亚马逊云科技目前提供超过 200 项全功能的服务，涵盖计算、存储、网络、数据库、数据分析、机器人、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体，以及应用开发、部署与管理等方面；基础设施遍及 31 个地理区域的 99 个可用区，并计划新建 4 个区域和 12 个可用区。全球数百万客户，从初创公司、中小企业，到大型企业和政府机构都信赖亚马逊云科技，通过亚马逊云科技的服务强化其基础设施，提高敏捷性，降低成本，加快创新，提升竞争力，实现业务成长和成功。