Nul
Overwegingen ten aanzien van beveiliging, moet rekening worden gehouden met in elke regel van de code voor de app ontwikkelaar, ongeacht de toepassing of waar het wordt uitgevoerd. Dit is standaard operationele praktijk van vandaag. Met serverloze computing, maar het wordt nog belangrijker.
Serverloze functies, het leveren van microservices, zijn modulair van stukjes code die zich gedragen op een bepaalde manier wanneer bepaalde ingangen. Ze wonen in een Functie-as-a-Service (FaaS) service provider van cloud-platform en, als zodanig, worden beschermd om een diploma van een door de aanbieder van de eigen veiligheid van de infrastructuur.
Dus je kunt verwachten dat de fysieke infrastructuur wrapper onderdelen datacenter, netwerk, servers en besturingssystemen – te worden bevestigd. Dit vermindert de kans op een succesvolle exploitatie, zoals ongepatchte servers worden gerekend tot de grootste kwetsbaarheden.
Security-uitdagingen
Dat gezegd hebbende, security uitdagingen liggen voor de serverloze app-ontwikkelaar. Ontwikkelaars zijn nog steeds verantwoordelijk voor de veilige uitvoering van hun code, met inbegrip van de logica, de code en de data. Ze moet ook in gedachten houden dat de serverloze architectuur brengt een set van unieke beveiligings-kwetsbaarheden.
In het bijzonder, de modulaire aard van de serverloze toepassingen betekent dat zij een verhoogde kwetsbaarheid als gevolg van hun onderlinge verbondenheid. Ze kunnen tekenen gegevens uit meerdere bronnen, zoals bijvoorbeeld cloud-opslag, IoT apparaten, of een verscheidenheid van Api ‘ s en message queues. Veel van deze kan het moeilijk zijn voor de traditionele firewalls te inspecteren. Bovendien, serverloze betekent dat de gegevens beweegt meer – tussen de functies en diensten van derden, bijvoorbeeld – zodat de gegevens meer kans op onderschepping.
En omdat serverloze toepassingen opereren in een complex web van verbindingen, maakt het volledig testen van de beveiliging moeilijk voor de release in een real-world omgeving. Bijvoorbeeld een functie zal vaak een beroep op externe bibliotheken te verbinden aan API-aangesloten externe web services, de afhankelijkheden van die uitdaging is vast te stellen.
De beste praktijken
Zo naleving van de best practices zoals nooit vertrouwen input, niet veilig, en zich te houden aan het principe van ‘least privilege’ – blijft belangrijk.
Het vertrouwen probleem betekent dat encryptie als een middel om geheimen, zoals API en sleutels, configuraties en toegang tot de database van referenties, het is essentieel: geen geheimen ooit moeten worden opgeslagen in leesbare tekst. Bij voorkeur moeten ze worden alleen opgeslagen, als dat strikt noodzakelijk is, bij voorkeur, een verscheidenheid van geheimen management systemen beschikbaar zijn. Gegevens van een functie of dienst ook worden versleuteld om te voorkomen dat de opbouw van een tere ketting van functies; een zwakke schakel breekt de veiligheidsketen.
Minste voorrecht betekent dat alleen voldoende rechten moeten worden toegekend voor het beoogde gedrag, dus helpen om te voorkomen dat, bijvoorbeeld, de uitvoering van systeem-niveau functioneert. Dit impliceert een sterke authenticatie: toegangscontrole dient te worden toegepast over de hele linie aan triggers, functies en evenementen, zoals van toepassing.
Deze complexe omgeving kan ook een uitdaging zijn om te monitoren, te visualiseren en te zuiveren, dat is een ander veiligheidsprobleem. Dus voldoende te loggen om te helpen met debuggen in deze complexe omgeving is het van essentieel belang, omdat het inzicht in de afzonderlijke functies is het waarschijnlijk noodzakelijk worden beperkt. Gedetailleerde logging zal ook het verbeteren van het inzicht in de acties van de indringers en helpen bij het voorkomen van overtredingen.
Verder, de complexiteit van de serverloze omgevingen betekent dat het controleren van de afhankelijkheden van externe bibliotheken en web-bronnen voor de kwetsbaarheden is het zeer aan te raden. En natuurlijk, input validatie blijft essentieel.
Echter, serverloze is niet allemaal kommer en kwel. Er zijn uitkeringen aan de technologie. Afgezien van de hierboven genoemde – zoals de mogelijkheid om de problemen van het beveiligen van de infrastructuur aan de FaaS provider – omdat een serverloze functie draait, doet zijn werk en draait snel naar beneden betekent dat hij minder kwetsbaar is voor een lange levensduur aanvallen zoals DDOS.
Functies hebben de neiging om relatief kleine stukjes code, waardoor het makkelijker is om precies aan te geven wat het wel en niet doet, die helpt bij het verminderen van de aanvallen. Door dezelfde token, echter, het is zeer eenvoudig te implementeren is een functie, en andere toepassingen kunnen ook worden afhankelijk maken van de verwijdering riskant – dat op zijn beurt betekent dat je kan eindigen met tal van functies in de implementatie met slecht gedefinieerde verbindingen, maar die zijn moeilijk af te sluiten.
Samenvatting
Serverloze computing blijft een vrij nieuwe technologie, en een aantal problemen met de beveiliging nog worden aangepakt. Echter, het biedt enorme voordelen en, na verloop van tijd, kunt u verwachten dat de domein-specifieke security-technologie om te rijpen en inschakelen van de voordelen van een server is niet vereist om volledig te zijn ontstaan.
Verwante Onderwerpen:
Cloud
0