5 bedste fremgangsmåder for serverløs sikkerhed for at beskytte dit cloudmiljø

Serverløs softwarearkitektur er blandt de spændende trends i moderne softwareudvikling.

Med det kan dit DevOps-team foke på at skrive kode uden at bekymre dig så meget om OS-opdateringer, infrastruktur eller patches.

Men selvom cloud-applikationsudvikling er enkel nu, betyder det ikke, at man afskriver ansvaret og behovet for serverløs sikkerhed.

Fortsæt med at beskytte dit skymiljø ved at vedligeholde eller forbedre dit forsvar. Her er nogle bedste fremgangsmåder for serverløs sikkerhed at implementere:

1. Udnyt serverløse sikkerhedsværktøjer sammen med WAF-beskyttelse.

Etablering af webapplikationsfirewalls (WAF) er kritisk, men du kan ikke kun stole på dem til at forsvare dit cloudmiljø. Du skal bruge robuste serverløse sikkerhedsværktøjer sammen med dine WAF-beskyttelsesforanstaltninger.

Her er hvorfor.

Konventionelle WAF'er kan fungere som den første forsvarslinje mod brudt autentificering, injektionsangreb og andre sikkerhedstrusler. De kan dog ikke forsvare dit skymiljø mod visse udløsertyper.

WAF'er beskytter kun API-gatewayen og vurderer hver HTTP/S-anmodning, der erer gennem den. De kan ikke hjælpe dig, hvis du ønsker at beskytte funktioner, der ikke udløses af API-gatewayen.

Derfor kan serverløse sikkerhedsteknologier supplere dette hul. De kan automatisere din risikoreduktion og styrke dit forsvar mod nye angrebsvektorer i serverløse funktioner. De kan også øge din synlighed over sårbarheder.

Alle disse gør det muligt for dine DevOps-teams at arbejde mere gnidningsløst, opleve færre afbrydelser af appudvikling, implementere og istrere kode sikkert osv.

2. Udfør revisioner for dine cloud-baserede applikationer.

Udfør regelmæssige applikationsrevisioner for at fange enhver cybermodstanders forsøg på at forurene dine applikationer. Dette er afgørende, uanset om du udvikler dine cloud-applikationer på open source-platforme eller relativt sikre, fx Microsoft Azure og AWS.

Denne praksis er yderligere vigtig, hvis du leverer cloud computing-tjenester. Da de er blandt de softwareudviklingstendenser i 2021, vil hackere sandsynligvis gøre dig til deres næste mål og drage fordel af dit hårde arbejde.

Gennem kodeaudit kan du afdække forældet eller open source-software, du måske har brugt eller udviklet. Denne softwaretype bærer fejl og andre kritiske sikkerhedsrisici, der kan skade din kodes ægthed og ejerskab.

Hvis du undrer dig, er det sådan her:

Applikationer bygget på skyen omfatter adskillige moduler, undermoduler og biblioteker. Så enkelte serverløse funktioner har normalt kode, der kører på titusindvis af linjer fra flere eksterne kilder. Det sker stadig, selvom dine udviklere kun oprettede mindre end hundrede linjer kode.

Cyberangribere forsøger derefter at implementere "forgiftning af brønden"-taktikken. De indsætter ondsindet kode i projekter bygget på open source-platforme og venter, indtil den nye version kommer ind i dine cloud-applikationer.

Du kan derefter implementere inficerede softwareprodukter, der yderligere kan bringe dine kunders it-netværk og dataaktiver i fare. Dette kan blandt andet resultere i brud, økonomiske tab og tab af klienttillid og endda virksomhedslukning.

Så kør regelmæssige automatiserede og manuelle kodeaudits for at beskytte integriteten af din kode og cloud-softwareprodukter og -tjenester, inklusive din virksomhed.

3. Kør timeouts for dine funktioner.

At begrænse, hvor længe dine funktioner skal køre, er en serverløs sikkerhed, som du ikke kan ignorere.

Det er dog ikke brugervenligt at oprette ordentlige serverløse funktionstimeouts, da den maksimale varighed afhænger af en specifik funktion.

Ikke desto mindre skal du anvende en stram køretidsprofil for dine funktioner.

Derudover bør dine DevSecOps-teams tage højde for den konfigurerede timeout i forhold til den faktiske.

Mange udviklere sætter timeouts op med den maksimalt tilladte varighed, da den ubrugte periode ikke genererer ekstra omkostninger.

Denne taktik udgør dog en massiv skysikkerhedsrisiko. Hvis cyberangribere lykkes med at injicere ondsindet kode, har de masser af tid til at påføre skade.

Kortere timeouts vil få hackere til at angribe hyppigere (kendt som "Groundhog Day"-angrebet). Dette afslører dem og giver dig mulighed for at stoppe og fange dem.

4. Gennemtving "én rolle pr. funktion."

Prøv altid at adoptere en princippet om én rolle pr. funktion, og angiv heller ikke en enkelt rolle for flere funktioner.

En ideel enkelt funktion har et 1:1 forhold med en rolle i din identitets- og adgangsstyring (IAM).

Når du laver dine IAM-politikker, skal du tile dem til princippet om mindste privilegium. Husk, at overdrevne tilladelser ofte er blandt de mest afgørende fejlkonfigurationer, som cybermodstandere udnytter.

Følg disse bedste IAM-praksis:

Opbyg lag af tillid gennem multi-faktor autentificering: adgangskoder, nøgler, sikkerhedspas, biometriske oplysninger, stemmegenkendelsessystemer osv.
Hold altid kontolegitimationsoplysninger til cloudmiljøer fortrolige.
I stedet for at dele konti, skal du oprette individuelle IAM-brugerkonti til dine medarbejdere, der har brug for adgang til cloud-ressourcer.
Anvend forskellige sæt tilladelser for medarbejdere i henhold til deres ansvar, jobkrav og andre væsentlige faktorer.
Undersøg dine IAM-politikker regelmæssigt.
Undgå at indlejre nøgler i instanser eller kode. Brug i stedet de indbyggede roller eller identiteter på platforme, du bruger (f.eks. AWS-roller, Azure Service Principal osv.).
Fjern unødvendige IAM-brugere og deres kontolegitimationsoplysninger.
Udfør robuste adgangskodeoprettelsesprotokoller: maksimal og minimum adgangskodelængde, adgangskodeudløb, brug af specialtegn og begrænsninger for ordbogsord og gentagne og sekventielle tegn.

5. Fald tilbage på de tre primære informationssikkerhedssøjler.

Referer altid tilbage til de tre væsentlige søjler i informationssikkerhed, når du skærper din serverløse sikkerhed.

Følgende er de tre søjler og den bedste praksis, der falder ind under hver af dem:

Fortrolighed

Reguler adgangen ved kun at tillade autoriserede brugere og tjenester at kommunikere med dine serverløse funktioner.
Håndhæv princippet om "mindst privilegium", når du tildeler roller og tilladelser til serverløse funktioner.
Begræns netværksadgang og -udgang til og fra kilder og destinationer.
Øv sikkerhedsprincippet "adskillelse af bekymringer", og reducer sprængningsradius ved at skabe forskellige politikker og roller for forskellige funktioner.

Integritet

Sørg for, at funktionsdataene i hvile og under transport er krypteret.
Brug log- og overvågningsværktøjer til at øge synligheden over dine serverløse funktioner, indbyrdes afhængige ressourcer, revisionsspor og handlinger udført af eller på dine funktioner.

Tilgængelighed

Implementer tilstrækkelige begrænsninger på hukommelse, beregning, samtidighed, eksekveringsvarighed og andre for at forhindre lammelsesangreb udløst af løbske funktioner.
Overvåg begrænsninger på kontoniveau, og anmod om en grænseforhøjelse fra din udbyder, hvis det er nødvendigt.

Intet bedre tidspunkt end nu til at prioritere din serverløse sikkerhed

Moderne cybersikkerhedstrusler fortsætter med at udvikle sig og angriber de mest sårbare cloudmiljøer - og derfor skal du prioritere serverløs sikkerhed. Etablering af disse og andre bedste praksisser kan i høj grad holde din virksomhed sikker og disse risici på afstand.

Desuden, da serverløse funktioner fungerer anderledes, skal du tage en holistisk tilgang, når du sikrer dine cloud-native arbejdsbelastninger på serverløse platforme. Gør det konsekvent, når de kører på tværs af CI/CD-pipelines.

Cybersecurity

Om forfatteren

Peter Hatch

7 bedste platforme til at bygge webapplikationer

Har en god idé til en webapplikation, men ved ikke hvor

Hack Wi-Fi-netværk ved hjælp af 'WifiKill' -appen til Android - Funktioner, krav og arbejdsprocedure

For de fleste af os sker det, at du nogle gange måske arbejder