ISO27001认证中对无服务器架构(Serverless)的安全考量

当无服务器遇上ISO27001：别让“自动伸缩”变成安全盲区

你有没有发现，现在一聊云原生，大家张口就是“函数即服务”“事件驱动”“零运维”——听起来很美。但当审计老师翻开你的ISO27001体系文件，问一句：“你们Serverless环境里的密钥怎么轮换？冷启动时的临时凭证谁在管？第三方触发器（比如S3上传、API网关调用）的访问控制策略，是否纳入了你们的信息资产清单？”——现场可能突然安静三秒。

安全责任没消失，只是悄悄转移了

很多人误以为用了Serverless，安全就“外包”给了云厂商。错。ISO27001认的是责任边界，不是技术形态。AWS Lambda也好，阿里云函数计算也罢，云厂商只负责底层基础设施（IaaS/PaaS层）的安全；而你的业务逻辑、身份鉴权、日志留存、敏感数据加密方式……这些统统属于你的信息资产管理范畴，必须写进SoA（适用性声明），必须有证据支撑。比如：函数代码里硬编码的数据库密码？哪怕只存在Git历史里一次，都算重大不符合项。

“看不见”的攻击面，恰恰最要命

传统架构里，你至少能看见服务器、防火墙、WAF。Serverless却像把系统拆成无数个“快闪店”：一次HTTP请求触发一个函数实例，执行完立刻销毁。问题来了——

• 日志分散在CloudWatch、X-Ray、自定义埋点里，能否15分钟内完成关联溯源？（ISO27001 A.12.4.3要求）
• 函数超时设置是30秒还是15分钟？过长的超时可能被滥用于挖矿或横向探测；过短又导致重试风暴，反而暴露接口规律。
• 更隐蔽的是：你用的开源SDK、NPM包，有没有在node_modules里悄悄埋了恶意依赖？这已不是开发问题，而是供应链安全风险评估（A.8.2.3），得进你的风险登记册。

九蚂蚁干了什么？让合规“长”在开发流水线上

我们帮客户把ISO27001要求“翻译”成DevOps语言：
✅ 自动扫描函数代码中的硬编码密钥、高危权限策略（如*:*），CI阶段直接拦截；
✅ 把冷启动日志、执行耗时、错误率等指标，实时映射到ISO27001控制项（比如A.12.6.1审计日志完整性）；
✅ 甚至帮你把每次函数部署，自动生成符合标准的《云服务安全配置检查单》——不是交差用的PPT，是审计老师当场扫码就能验真伪的活文档。

说白了，Serverless不是合规的捷径，而是放大镜。它照出你原来没想清楚的流程断点。而九蚂蚁做的，就是帮你把那些“本该做但总拖着”的事，变成每天敲几行命令就能落地的习惯。