Nul
(Billede: File Foto)
Serverless arkitekturer, også kendt som funktion as-a-service (FaaS), der anvendes i virksomheden til både at opbygge og implementere software og tjenester, uden at det er nødvendigt for in-house fysiske eller virtuelle servere.
Denne form for arkitektur har vist sig at være populære på grund af iboende skalerbarhed og kompatibilitet med cloud-tjenester og omfatter AWS Lambda, Azure Funktioner, Google Cloud-Funktioner, og IBM BlueMix Cloud-Funktioner.
Men som nævnt i en ny rapport fra PureSec, det er ikke immune over for de sikkerheds-problem, som påvirker mere traditionelle server-baserede systemer.
På onsdag, den serverless arkitekturer vagtselskab udgivet en ny rapport, der beskriver de mest almindelige spørgsmål vedrørende sikkerhed og udfordringer, som disse systemer i dag.
Rapporten, med titlen “De Ti Mest Kritiske sikkerhedsrisici i Serverless Arkitekturer,” foreslår, at følgende ti problemer, der er årsag til, sikkerhedsmæssige udfordringer i dag:
1. Funktion begivenhed data injektion: Injektion fejl i applikationer er en af de mest almindelige risici og kan udløses ikke kun gennem tillid input, såsom via et web API-kald, men på grund af den potentielle angreb overfladen af serverless arkitektur, kan også komme fra cloud storage begivenheder, NoSQL-databaser, ændringer i koden, message queue begivenheder og IoT-telemetri-signaler, blandt andre.
“Denne rige sæt af omstændigheder kilder, der øger den potentielle angreb overflade og introducerer kompleksitet, når de forsøger at beskytte serverless funktioner mod event-data injektioner, især da serverless arkitekturer er ikke nær så godt-forstået som web miljøer, hvor udviklere vide, hvilket budskab dele bør ikke have tillid til (GET/POST parametre, HTTP-headere, og så videre),” hedder det i rapporten.
2. Brudt godkendelse: Programmer, der er bygget til serverless arkitekturer indeholder ofte snesevis — eller endda hundredvis — af serverless funktioner, hver med et bestemt formål.
Disse funktioner forbinde sammen til det samlede system logik, men nogle af disse funktioner kan udsætte den offentlige web-Api ‘ er, andre kan forbruge begivenheder fra forskellige kildetyper, og andre kan have kodning spørgsmål moden til at udnytte og angreb, der kan føre til uautoriseret godkendelse.
3. Usikre serverless implementering konfiguration: Den sikkerhed, virksomheden fandt, at forkerte indstillinger og fejlkonfiguration af cloud-tjenester er et fælles tema. Dette igen, kan give en indgang til angreb mod serverless arkitekturer, læk af følsomme, fortrolige oplysninger, og potentielt Man-in-The-Middle (MiTM) angreb.
4. Over-privilegerede funktion tilladelser og roller: Serverless applikationer-og enterprise-systemer som en helhed-skal følge princippet om “det mindste privilegium.”
Hvis brugerne har mere adgang end de kræver for deres daglige aktiviteter, bør for en hacker at kompromittere deres konto, de bliver givet licens til skader, som kunne have været undgået, — og det samme bør du gå til programmer.
Men PureSec har fundet, at dette etos er ikke følges. Serverless funktioner bør kun har de privilegier, de efterspørger, men som indstilling disse tilladelser for potentielt snesevis af funktioner, dette område er ofte ignoreret — og bliver en svag sikkerhed stedet.
5. Utilstrækkelig funktion til overvågning og logging: rekognoscering fase af et angreb, hvor trussel aktører forsøg på at få intel på et netværk forsvarsværker og svagheder, er også et afgørende punkt for cybersikkerhed løsninger til at opdage mistænkelig adfærd og lukke det ned.
Som serverless arkitekturer opholde sig i cloud-miljøer, der “on-premise” real-time cybersecurity løsninger er overflødige-og det betyder, at de tidlige tegn på et angreb kan være forpasset.
Mens serverless systemer, der ofte tilbyder logning, kan de ikke være egnet til formålet af sikkerhed, overvågning og revision.
6. Usikre tredjeparts-afhængigheder: Når serverless funktioner er afhængige af tredjeparts-software, som open source-pakker og biblioteker, hvis sårbarheder er til stede, disse kan bane vejen for at udnytte.
7. Usikker program hemmeligheder opbevaring: Mange apps kræver “hemmelige” oplysninger, til at være krypteret og gemt, såsom API-keys, adgangskoder, konfiguration af indstillinger og database-legitimationsoplysninger.
Men en tilbagevendende fejl opdaget af PureSec er den almindelige praksis med at gemme denne information i en klartekst-konfiguration filer — hvor enhver ubuden gæst kan plyndre.
8. DDoS-angreb, ressourcer strakt til det yderste: Ifølge undersøgelsen, distribueret denial-of-service (DDoS) – angreb udgør en alvorlig risiko for, at serverless arkitektur, da der kan være allokering af hukommelse, varighed for hver funktion, og udførelse grænser.
Standard grænser og dårlig konfiguration kan føre til en vellykket DDoS-angreb og ventetid kampe.
9. Serverless funktion udførelse flow manipulation: Hackere kan være i stand til at undergrave anvendelse logik ved manipulation med anvendelse strømme, der fører til adgangskontrol bypass, rettighedsforøgelse eller denial-of-service-angreb.
Læs også: Zero-day-sårbarheder kapre fuld Dell, EMC Data Protection Suite
10. Forkert håndtering af undtagelser og detaljerede fejlmeddelelser: Line-by-line debugging tjenester for serverless arkitektur er ofte ret begrænset. Som et resultat, nogle udviklere vedtage detaljerede fejlmeddelelser, skal du aktivere fejlretning efter, og de glemmer at rense kode, når det er flyttet til produktion.
Når de udsættes for slutbrugere, er disse beskeder kan afsløre oplysninger om serverless funktioner og den logik, der anvendes-samt svagheder i systemet og fortrolige data.
“Serverless arkitekturer har eksploderet i de sidste par år med en årlig vækst på over 700 procent,” sagde Ory Segal, CTO og medstifter af PureSec. “Vores forskning viser, at serverless relateret software-downloads erfaring eksponentiel vækst, men på samme tid er der et stort hul i sikkerheden viden omkring serverless, når sammenlignet med traditionelle applikationer.”
Relaterede historier
MaMi malware rettet mod Mac OS X DNS-indstillinger ICO bøder spam-glad virksomheder £600.000 og Lad os Kryptere deaktiverer TLS-SNI-01 validering
Relaterede Emner:
Mobilitet
Sikkerhed-TV
Data Management
CXO
Datacentre
0