Zero
(Immagine: File Di Foto)
Serverless architetture, noto anche come funzione di as-a-service (FaaS), sono utilizzati in azienda per sia creare e distribuire software e servizi senza la necessità di server fisici o virtuali.
Questo tipo di architettura si è dimostrato popolare a causa inerente la scalabilità e compatibilità con i servizi cloud e comprende AWS Lambda, Azure Funzioni, Google Cloud Funzioni, e IBM BlueMix Cloud Funzioni.
Tuttavia, come osservato in un nuovo rapporto PureSec, non è immune al problema di sicurezza, che hanno un impatto più tradizionali server-based.
Mercoledì, il serverless architetture ditta di sicurezza rilasciato un nuovo rapporto contenente i più comuni problemi di sicurezza e le sfide di fronte a questi sistemi di oggi.
Il report, intitolato “I Dieci Più Critici Rischi per la Sicurezza in Serverless Architetture,” suggerisce che i seguenti dieci problemi sono causa di problematiche di sicurezza di oggi:
1. Funzione di dati di evento iniezione: Iniezione difetti applicazioni sono uno dei rischi più comuni e può essere attivato non solo attraverso input non attendibili come attraverso una web API chiamata, ma a causa della potenziale superficie di attacco di serverless architettura, può venire anche da cloud storage eventi, i database NoSQL, modifiche del codice, messaggio di coda di eventi e IoT segnali di telemetria, tra gli altri.
“Questo ricco insieme di sorgenti di eventi aumenta la potenziale superficie di attacco e introduce elementi di complessità quando si tenta di proteggere serverless funzioni contro evento-dati iniezioni, soprattutto perché serverless architetture non sono quasi ben capito come ambienti web, dove gli sviluppatori sanno che le parti del messaggio che non dovrebbe essere attendibile (GET/POST parametri, intestazioni HTTP, e così via)”, dice la relazione.
2. Rotto di autenticazione: le Applicazioni create per serverless architetture spesso contengono decine, o anche centinaia-di serverless di funzioni, ciascuna con uno specifico scopo.
Queste funzioni si collegano insieme per la forma complessiva logica di sistema, ma alcune di queste funzioni possono esporre pubblico, web Api, altri possono utilizzare gli eventi da diversi tipi di origine, e altri possono avere la codifica dei problemi maturi per exploit e attacchi che portano a non autorizzata di autenticazione.
3. Insicuro senza server di configurazione della distribuzione: La società di sicurezza ha trovato che le impostazioni non corrette e la configurazione dei servizi cloud è un tema comune. Questo, a sua volta, in grado di fornire un punto di ingresso per gli attacchi contro serverless architetture, la perdita di informazioni sensibili e confidenziali, e potenzialmente Man-in-The-Middle (MiTM) attacchi.
4. Oltre privilegiato funzione di autorizzazioni e ruoli: Serverless applicazioni — e sistemi aziendali come un intero, dovrebbe seguire il principio del “minimo privilegio”.
Se gli utenti hanno un accesso più che hanno bisogno per la loro attività quotidiana, se un utente malintenzionato di compromettere il loro conto, sono date di licenza per i danni che avrebbe potuto essere evitato — e lo stesso dovrebbe andare per le applicazioni.
Tuttavia, PureSec ha trovato che questo principio non è stato seguito. Serverless funzioni devono avere solo i privilegi di cui hanno bisogno, ma come impostazione di queste autorizzazioni per decine di funzioni, questa zona è spesso ignorato, e diventa una protezione debole spot.
5. Inadeguata funzione di monitoraggio e di registrazione: La fase di riconoscimento di un attacco, dove minaccia attori tentativo di ottenere il intel su una rete di difese e di debolezza, è anche un punto cruciale per la sicurezza informatica, soluzioni per rilevare comportamenti sospetti e arrestato.
Come serverless architetture di soggiornare in ambienti cloud, on-premise, in tempo reale, sicurezza informatica, soluzioni ridondanti — e questo significa che i primi segni di un attacco può essere perso.
Mentre serverless sistemi spesso offrono funzionalità di registrazione, possono non essere adatti per lo scopo di monitoraggio per la sicurezza o di revisione.
6. Insicuro dipendenze di terze parti: Quando serverless funzioni si basano su software di terze parti, come ad esempio pacchetti open-source e le librerie, se le vulnerabilità sono presenti, questi può spianare la strada per sfruttare.
7. Applicazione insicura segreti di conservazione: Molte app richiedono il “segreto” di informazioni crittografate e archiviate, come chiavi API, le password, le impostazioni di configurazione e le credenziali del database.
Tuttavia, un ricorrente errore rilevato da PureSec è la pratica comune di memorizzare queste informazioni in formato di file di configurazione di testo — dove qualsiasi intruso può saccheggio.
8. Gli attacchi DDoS, risorse sfruttate al massimo: Secondo lo studio, distributed denial-of-service (DDoS) presentano un rischio grave per serverless architettura come ci può essere di allocazione di memoria, durata per funzione e l’esecuzione dei limiti.
Limiti predefiniti e poveri configurazione può portare al successo gli attacchi DDoS di latenza e di lotte.
9. Serverless funzione del flusso di esecuzione per la manipolazione di Attaccanti potrebbe essere in grado di sovvertire la logica dell’applicazione da manomissione con i flussi delle applicazioni, leader per il controllo di accesso di bypass, “privilege escalation” o di tipo denial-of-service (ddos).
Leggi anche: vulnerabilità Zero-day dirottare completo Dell EMC Data Protection Suite
10. Improprio di gestione delle eccezioni e dettagliato messaggi di errore: Riga-per-riga di debug di servizi per serverless architettura spesso sono piuttosto limitate. Come risultato, alcuni sviluppatori di adottare dettagliato messaggi di errore, attivare il debug dopo il fatto, e si può dimenticare di pulire il codice quando si è spostato in produzione.
Quando esposto agli utenti finali, questi messaggi possono rivelare informazioni su serverless funzioni e la logica utilizzata come debolezze del sistema e dei dati.
“Serverless architetture sono saliti alle stelle negli ultimi due anni, con un tasso di crescita annuale di oltre il 700 per cento,” ha detto Ory Segal, CTO e co-fondatore di PureSec. “La nostra ricerca mostra che serverless relative al download di software esperienza di crescita esponenziale, ma allo stesso tempo c’è un divario enorme conoscenza di sicurezza intorno serverless rispetto alle tradizionali applicazioni.”
Storie correlate
MaMi malware obiettivi di Mac OS X impostazioni DNS ICO multe spam-felice aziende £600,000 Let’s Encrypt disabilita TLS-SNI-01 convalida
Argomenti Correlati:
Mobilità
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0