Nul
Bestand Foto
Serverloze architecturen, ook wel bekend als de functie as-a-service (FaaS), zijn gebruikt in de onderneming om zowel het bouwen en implementeren van software en diensten, zonder de noodzaak voor de in-house fysieke of virtuele servers.
Deze vorm van architectuur heeft bewezen populair vanwege inherente schaalbaarheid en compatibiliteit met cloud diensten en omvat AWS Lambda, Azure Functies, Google Cloud Functies en IBM BlueMix Cloud Functies.
Echter, zoals opgemerkt in een nieuw rapport van PureSec, het is niet immuun voor de problemen met de beveiliging die van invloed zijn op de meer traditionele server-gebaseerde systemen.
Op woensdag, de serverloze architecturen beveiligingsbedrijf een nieuw rapport vrijgegeven waarin de meest voorkomende problemen met de beveiliging en uitdagingen van deze systemen vandaag de dag.
Het rapport, dat de titel “De Tien Meest Kritieke beveiligingsrisico’ s zijn in Serverloze Architecturen,” suggereert dat de volgende tien problemen veroorzaken security uitdagingen van vandaag:
1. Functie event data injectie: Injectie van fouten in applicaties zijn een van de meest voorkomende risico ‘ s en kan worden veroorzaakt niet alleen door niet-vertrouwde-ingang zoals door middel van een web API-aanroep, maar vanwege de mogelijke kwetsbaarheid van serverloze architectuur, kan ook komen van cloud-opslag van gebeurtenissen, NoSQL databases, wijzigingen in de code, message queue evenementen en IoT telemetrie signalen, onder anderen.
“Deze rijke set van gebeurtenis bronnen verhoogt de potentiële kwetsbaarheid en complexiteit introduceert bij een poging tot het beschermen serverloze functies tegen event-data injecties, vooral omdat serverloze architecturen zijn niet zo goed begrepen als web omgevingen waar de ontwikkelaars weten dat bericht delen mag niet worden vertrouwd (GET/POST-parameters, HTTP headers, enzovoort),” aldus het verslag.
2. Gebroken verificatie: Applicaties gebouwd voor de serverloze architecturen bevatten vaak tientallen-of zelfs honderden — van serverloze functies, elk met een specifiek doel.
Deze functies met elkaar te verbinden om een vorm van totale systeem van de logica, maar sommige van deze functies kan bloot publieke web-Api ‘ s, anderen kunnen consumeren gebeurtenissen uit verschillende soorten bronnen, en anderen kunnen hebben codering problemen rijp voor de uitbuiting en de aanvallen die leiden tot ongeoorloofde verificatie.
3. Onzeker serverloze implementatie configuratie: De security bedrijf gevonden die onjuiste instellingen en de verkeerde instelling van cloud-diensten zijn een gemeenschappelijk thema. Dit, op zijn beurt, kan een beginpunt voor aanvallen tegen serverloze architecturen, het lekken van gevoelige, vertrouwelijke informatie, en mogelijk Man-in-The-Middle (MiTM) aanvallen.
4. Over bevoorrechte functie machtigingen & rollen: Serverloze toepassingen — en enterprise systemen als geheel — moeten volgen het principe van de “least privilege.”
Als gebruikers meer toegang hebben dan ze nodig hebben voor hun dagelijkse activiteiten, moet een aanvaller compromis hun rekening, ze worden gezien licentie voor schade die had kunnen worden vermeden, en hetzelfde moet gaan voor toepassingen.
Echter, PureSec heeft gevonden dat deze filosofie niet wordt gevolgd. Serverloze functies moeten hebben van de voorrechten die zij nodig hebben, maar als het instellen van deze machtigingen voor mogelijk tientallen functies, dit gebied is vaak genegeerd-en wordt een zwakke beveiliging plek.
5. Onvoldoende functie monitoring & registratie: De verkenning fase van een aanval, waarbij gevaar actoren proberen te verkrijgen intel op een netwerk verdediging en zwakke punten, is ook een cruciaal punt voor cybersecurity oplossingen voor het detecteren van verdacht gedrag en afsluiten.
Als serverloze architecturen verblijven in cloud-omgevingen, “on-premise” real-time cybersecurity oplossingen zijn overbodig — en dit betekent dat de eerste tekenen van een aanval kan worden gemist.
Terwijl serverloze systemen bieden vaak mogelijkheden voor logboekregistratie, kunnen zij niet geschikt zijn voor het doel van de controle van de veiligheid of audits.
6. Onzeker derden afhankelijkheden: Wanneer serverloze functies vertrouwen op software van derden, zoals open-source pakketten en bibliotheken, als kwetsbaarheden aanwezig zijn, kunnen deze de weg vrijmaken voor te exploiteren.
7. Onveilige toepassing geheimen opslag: Veel apps vereisen “geheime” informatie wordt versleuteld en opgeslagen, zoals de API sleutels, wachtwoorden, configuratie-instellingen en database referenties.
Echter, een terugkerende fout gedetecteerd door PureSec is de gangbare praktijk van het opslaan van deze informatie in leesbare tekst configuratie bestanden — waar een indringer kan plunderen.
8. DDoS-aanvallen, middelen uitgerekt tot het uiterste: Volgens de studie, distributed denial-of-service (DDoS) – aanvallen vormen een ernstig risico voor de serverloze architectuur als er kan worden toewijzing van geheugen, duur per functie en de uitvoering van grenzen.
De standaardlimieten en slechte configuratie kan leiden tot een succesvolle DDoS-aanvallen en latency strijd.
9. Serverloze functie-uitvoering flow manipulatie: Aanvallers kunnen ondermijnen toepassing logica door te knoeien met de toepassing stromen, wat leidt tot toegangscontrole bypass, privilege escalation of denial-of-service-aanvallen.
Zie ook: Zero-day kwetsbaarheden kapen volledige Dell EMC Data Protection Suite
10. Onjuiste exception handling & uitgebreide foutmeldingen: Lijn-per-lijn debugging diensten voor serverloze architectuur zijn vaak vrij beperkt. Als gevolg hiervan, sommige ontwikkelaars aannemen uitgebreide foutmeldingen, foutopsporing wilt inschakelen nadat het feit, en kunnen ze vergeten voor het reinigen van de code wanneer deze wordt verplaatst naar de productie.
Wanneer blootgesteld aan eindgebruikers, deze berichten kunnen onthullen informatie over serverloze functies en de logica gebruikt, zoals ook op de zwakke punten in het systeem en vertrouwelijke gegevens.
“Serverloze architecturen zijn omhooggeschoten in de afgelopen paar jaar met een jaarlijkse groei van meer dan 700 procent,” zei Ory Segal, CTO en mede-oprichter van PureSec. “Ons onderzoek toont aan dat serverloze gerelateerde software downloads ervaring exponentiële groei, maar tegelijkertijd is er een grote leemte in de kennis van veiligheid rond serverloze in vergelijking met een traditionele toepassingen.”
Vorige en aanverwante dekking
MaMi malware gericht is op het Mac OS X-DNS-instellingen ICO boetes voor spam-happy bedrijven £600.000 en Laten we Coderen wordt TLS-SNI-01 validatie
Verwante Onderwerpen:
Mobiliteit
Beveiliging TV
Data Management
CXO
Datacenters
0