Noll
(Bild: En Fil Foto)
Serverlösa-arkitekturerna, även känd som funktion as-a-service (FaaS), används i företaget för att både bygga och distribuera programvara och tjänster utan att det behövs i huset fysiska eller virtuella servrar.
Denna typ av arkitektur har blivit populärt på grund av inneboende skalbarhet och kompatibilitet med moln-tjänster och omfattar AWS Lambda, Azure Funktioner, Google Cloud-Funktioner, och IBM BlueMix Cloud-Funktioner.
Men, som det konstateras i en ny rapport från PureSec, det är inte immuna mot de säkerhetsproblem, som påverkar mer traditionella server-baserat system.
På onsdag, den serverlösa arkitekturer bevakningsföretag släppt en ny rapport om de vanligaste säkerhetsrelaterade frågor och utmaningar som finns i dessa system i dag.
Rapporten, med titeln “De Tio Mest Kritiska säkerhetsrisker i Serverlösa Arkitekturer,” föreslår att följande tio problem som orsakar säkerhets-utmaningar idag:
1. Funktion vid data injektion: Insprutning brister i tillämpningar är en av de vanligaste riskerna och kan inte aktiveras endast genom betrodda ingång till exempel genom en web API-anrop, men på grund av den potentiella attacker yta av serverlösa arkitektur, kan också komma från cloud lagring av händelser, NoSQL-databaser, ändringar i koden, message queue händelser och sakernas internet telemetri signaler, bland andra.
“Denna rika uppsättning händelse källor ökar den potentiella angrepp yta och inför komplexiteten när man försöker skydda serverlösa funktioner mot event-data injektioner, särskilt eftersom serverlösa arkitekturer är inte alls lika väl uppfattas som web miljöer där utvecklare vet vilket budskap delar bör inte vara betrodd (GET/POST parametrar, HTTP-huvuden och så vidare),” säger rapporten.
2. Trasiga autentisering: Program som skapats för serverlösa arkitekturer ofta innehåller dussintals, eller ens hundratals — för serverlösa funktioner, var och en med ett specifikt syfte.
Dessa funktioner koppla samman för att bilda den totala systemets logik, men några av dessa funktioner kan utsätta offentliga webb-Api: er andra kan konsumera händelser från olika typer källa, och andra kan ha kodning frågor mogen för att utnyttja och attacker, vilket leder till att obehöriga autentisering.
3. Osäker serverlösa utbyggnad konfiguration: Den säkerhet som företaget fann att felaktiga inställningar och att en felkonfiguration av molntjänster är ett gemensamt tema. Detta, i sin tur, kan ge en startpunkt för attacker mot serverlösa arkitekturer, läckage av känslig och konfidentiell information, och potentiellt Man-in-The-Middle (MiTM) attacker.
4. Under-privilegierade funktion behörigheter och roller: Serverlösa-program-och enterprise-system som en helhet — bör följa principen om minst privilegium.”
Om användarna har mer än de behöver för sin dagliga verksamhet, bör en angripare att kompromissa med deras konto, de har fått licens att skador, som kunde ha undvikits — och samma skall gå för program.
Men PureSec har funnit att denna värdegrund inte följs. Serverlösa funktioner bör endast har de befogenheter de behöver, men som du ställer in dessa behörigheter för potentiellt massor av funktioner, detta område är ofta ignoreras — och blir en svag säkerhet plats.
5. Otillräcklig funktion för övervakning och loggning: spaning fasen i ett anfall, där hot aktörer försök att få intel på ett nätverk försvar och svagheter, är också en avgörande punkt för it-lösningar för att upptäcka misstänkta beteenden och stänga av den.
Som serverlösa arkitekturer bo i molnmiljöer, “on-premise” real-time it-lösningar är arbetslösa — och detta innebär att de tidiga skyltarna av en attack kan missas.
Medan serverlösa system inte erbjuder ofta loggning, de får inte vara lämplig för säkerhet övervakning eller kontroller.
6. Osäker tredje part beroenden: När serverlösa funktioner är beroende av tredje part, till exempel paket med öppen källkod och bibliotek, om sårbarheter som finns, dessa kan bana väg för att utnyttja.
7. Osäker ansökan hemligheter lagring: Många appar kräver “hemlig” information krypteras och lagras, såsom API-nycklar, lösenord, inställningar och databas referenser.
Men ett återkommande misstag som upptäcks av PureSec är en gemensam praxis för att lagra denna information i klartext konfigurationsfiler — där någon inkräktare kan plundra.
8. DDoS-attacker, resurser sträckt till gränsen: Enligt studien, distributed denial-of-service (DDoS) attacker utgöra en allvarlig risk för serverlösa arkitektur som det kan vara minnesallokering, varaktighet per funktion och utförande gränser.
Standard gränser och dålig konfiguration kan leda till framgångsrik DDoS-attacker och latens kamper.
9. Serverlösa funktion utförande flöde manipulation: Angripare kan förvanska ansökan logik genom manipulering med ansökan flöden, vilket leder till access control bypass, utökning av privilegier eller denial-of-service-attacker.
Läs också: Zero-day sårbarheter kapa full Dell EMC Data Protection Suite
10. Felaktig hantering av avvikelser och utförliga felmeddelanden: Line-by-line felsökning tjänster för serverlösa arkitektur är ofta ganska begränsad. Som ett resultat av att vissa utvecklare anta utförliga felmeddelanden aktiverar felsökning efter faktum, och de kan glömma att rengöra koden när den är flyttad till produktion.
När de utsätts för slutanvändare, dessa meddelanden kan avslöja information om serverlösa funktioner och logik som används-liksom svagheter i systemet och konfidentiella uppgifter.
“Serverlösa arkitekturer har skjutit i höjden under de senaste åren med en årlig tillväxt på över 700 procent,” sade Ory Segal, CTO och grundare av PureSec. “Vår forskning visar att serverlösa relaterad mjukvara nedladdningar erfarenhet exponentiell tillväxt, men på samma gång är det en stor lucka i säkerheten kunskap kring serverlösa jämfört med traditionella applikationer.”
Släkt historier
MaMi malware mål Mac OS X DNS-inställningar ICO böter spam-glad företag £600,000 Låt oss Kryptera inaktiverar TLS-SNI-01 validering
Relaterade Ämnen:
Rörlighet
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0