近年来,随着新解决方案生态系统的蓬勃发展,无服务器技术取得了显著增长。这些新解决方案提供了可观察性、实时跟踪、部署框架和应用程序安全性。
没有服务器的安全风险逐渐引起人们的关注。嘲笑者和嫉妒者的所谓“FUD”习惯,如恐惧、不稳定、怀疑再次爆发。他们指出,缺乏服务器技术对于快速部署软件和显著降低总体拥有成本具有重要价值,但也带来了新的安全挑战。
评估成熟技术的关键指标之一是生态系统。繁荣的社区、广泛的文档、最佳实践指南和工具决定了公司是否相信并应用新技术。
最近,云安全联盟(CSA)与PureSec合作创建了一个没有服务器的安全指南。本指南吸收了去年的大部分信息,增加了两个关键阶段的风险。
本指南的标题是无服务器应用程序的12个最严重的风险,它面向处理无服务器应用的安全和开发受众。
风险1:数据注入功能事件
如果没有服务器技术,可以使用来自不同事件源的数据输入。每个事件源都有自己独特的消息格式和编码机制。这些事件消息可能包含攻击者控制的数据项或需要严格检查的不可靠数据项。
风险2:身份验证错误
服务器租赁改进了微服务系统的设计。应用程序可以包含几十个甚至数百个函数。如果不小心运行它们,则在身份验证过程中很容易发生错误。
风险3:服务器部署不确定
云提供商可以提供多种配置,以使服务适应特定需求。现有配置不一定是最安全的选项。随着越来越多的企业迁移到云,云部署漏洞变得越来越常见。
风险4:夸大功能权限和角色权限
在云端部署应用程序时,管理功能权限和角色是组织面临的最具挑战性的安全挑战之一。有时开发人员想走捷径,通常采用“包权限”模式。
风险5:功能监测和记录不足
尽管大多数云提供商提供非常强大的日志功能,但这些日志不一定适合在应用程序级别提供完整的安全事件监视功能。
