Главная > Аналитика > 9 рекомендаций от Check Point по бессерверной безопасности
Быстрый переход
в категорию
27.05.2020
9 рекомендаций от Check Point по бессерверной безопасности

Преимущество бессерверной архитектуры заключается в том, что разработчикам больше не нужно настраивать и администрировать серверы, на которых запущены управляющие программы всей системы. Вся инфраструктура поддерживается сторонними провайдерами, а необходимая функциональность предлагается в форме сервисов, отвечающих за процессы аутентификации, передачи сообщений и так далее.

Бессерверные архитектуры приложений действительно улучшают безопасность, ведь злоумышленникам сложнее организовывать атаки на такой вид архитектуры. Однако, угрозы для ваших приложений сохранятся, так как изменилась поверхность атаки. И наш партнер Check Point написал 9 рекомендаций по бессерверной безопасности.

План рисков приложения

Поскольку серверные приложения состоят из сотен функций, вам необходимо иметь полное представление о своем потенциальном риске. Вам следует рассмотреть:

  • Какие данные задействованы в вашем приложении и насколько они чувствительны?
  • Какова ценность этих данных и что будет, если эти данные будут взломаны?
  • Какие сервисы (API) обращаются к данным?

Защита на функциональном уровне

Фрагментация приложения, в сочетании с использованием триггеров из разных источников (таких как хранилище, очереди сообщений и базы данных) открывает больше целей и векторов атак для злоумышленников.

Реализовать меры безопасности на периметре является обязательным действием. Так же, для реализации безопасности рекомендуется использовать WAF (фаерволл веб-приложений) и API-шлюзы.

Минимальные роли для каждой функции

Бессерверность может существенно увеличить количество ресурсов, на которые можно воздействовать. Необходимо учитывать политики, регулирующие взаимодействие между сотнями ресурсов, с сотнями возможных разрешений в каждом направлении. Убедитесь, что функции обладают набором минимальных разрешений, которые им необходимы для обеспечения безопасной настройки путем минимизации поверхности атаки.

Кроме того, реализуйте непрерывную оценку этих привилегий и внедряйте автоматическое исправление, чтобы исправить те, что выходят за пределы политик.

Безопасные зависимости приложений

Зависимости приложений, особенно с открытым исходным кодом, распространены и уязвимы. Бессерверная архитектура делает ручное управление сторонними зависимостями особенно сложным.

Для защиты зависимостей приложений требуется доступ к хорошей базе данных и автоматизированным инструментам, чтобы постоянно предотвращать использование новых уязвимых пакетов и получать уведомления об обнаруженных проблемах.

Например, инструменты Source Composition Analysis (SCA) помогают выявлять уязвимости с открытым исходным кодом на ранних этапах жизненного цикла разработки.

Плохой код

Бессерверные развертывания имеют разнообразные триггеры и бесконечное масштабирование. Эти возможности так же могут привести к отказу в обслуживании приложения. С более открытой поверхностью атаки ошибки могут легко превратиться в обязательства безопасности. Поэтому следите за своим кодом и конфигурацией, используя инструменты для тестирования.

Тесты для настройки сервиса

Внедрение на сервере требует увеличения скорости продукта, но это также предоставляет множество возможностей для нарушения безопасности. Проверьте и убедитесь, что исправленная конфигурация – верная. Не забывайте тестировать то, что вы настраиваете.

Потоки информации

Влияние потока данных является уникальным для бессерверных архитектур, благодаря значительно большему количеству компонентов в приложении. Вы должны следить за потоком информации, чтобы он «шел» только между нужными вам службами, и информация оказывалась в нужном месте.

Смягчение отказа в обслуживании

Вы по-прежнему подвержены атакам типа «отказ в обслуживании». Включение масштабного автоматического масштабирования вашего сервиса может помочь смягчить некоторые DoS-атаки.

Внедрите соответствующие средства защиты от DoS-атак перед конечными веб-точками. Например, Amazon API Gateway. Также рассмотрите DoS через другие функции защиты, которые могут помочь обнаружить эти атаки, минимизировать их воздействие и смягчить последствия.

Обновление контейнеров FaaS

Убедитесь, что у вас есть решение для обеспечения безопасности, которое может обнаруживать «зависающие» моменты в вашей функции (такие как дополнительный код, скрытый собственный процесс и т. д.).

Заключение рекомендаций по бессерверной безопасности

Как и любой аспект кибербезопасности, защита вашего бессерверного приложения требует различных тактик на протяжении всего жизненного цикла разработки приложения. Однако строгого соблюдения рекомендаций недостаточно. Чтобы достичь идеальной защиты, вы должны использовать бессерверные средства безопасности, которые обеспечивают постоянное обеспечение безопасности, предотвращение и обнаружение атак.

Если вас интересуют решения по обеспечению бессерверной безопасности, свяжитесь с нашим менеджером.

Первосточник.

бессерверные приложения
Мы не передадим ваши данные третьим лицам и не будем донимать спамом
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.