无服务器体系结构(也称为服务FaaS)用于在组织内创建和部署软件和服务,而不需要内部物理或虚拟服务器。
该架构因其可扩展性和与AWS Lambda、Azure功能、谷歌云功能和IBM BlueMix云功能等云服务的兼容性而广受欢迎。
然而,正如PureSec的一份新报告所示,这些体系结构无法避免现有基于服务器的系统的安全问题。
服务器架构安全公司PureSec发布了一份新报告,描述了这些系统面临的最常见的安全问题和挑战。这份题为“无服务器体系结构的十大安全风险”的报告指出,以下十个问题导致了当今的安全问题:
1、插入功能事件数据:应用程序中插入的漏洞是最常见的风险之一。不仅可以触发不可靠的输入(如Web API调用),还可以触发没有服务器体系结构的潜在攻击。物联网上的云存储事件、NoSQL数据库、代码更改、新闻等待事件和遥测信号。
当我们试图保护无服务器功能以防止事件数据流入时,这些丰富的事件源可能会增加攻击的潜在范围和复杂性,特别是因为无服务器架构与Web环境几乎不同。在Web环境中,开发人员知道消息的哪些部分不应该被理解和信任。
2、身份验证错误:为无服务器架构设计的应用程序通常包含数十或数百个服务器的功能,每个服务器都有特定的用途。
这些函数相互连接以形成整个系统逻辑,但有些函数可以公开Web API,有些函数可以使用其他源类型的事件,有些函数存在编码问题,可能导致未经身份验证的身份验证。
3、不确定的无服务器部署配置:PureSec发现云服务的错误设置和配置是常见的话题。因此,它可能是无服务器架构的攻击点,暴露敏感机密信息,并为潜在的中间人(MiTM)攻击提供网关。
4、功能权限和权限之外的角色:无服务器应用程序和整个企业系统应遵循“最小权限”的原则。
如果用户的访问权限超过了日常操作要求,攻击者会攻击该帐户吗?他们被允许渗透,这本来是可以避免的,应用程序也是如此。
然而,PureSec发现这一原则并未得到遵守。虽然无服务器功能只需要必要的权限,但在设置这些权限后,您可以设置数十个功能,因此这一部分经常被忽略,并成为安全漏洞。