查看: 246|回复: 0

    你知道在哪里可以找到无服务器体系架构的安全漏洞吗?

    [复制链接]
  • TA的每日心情

    2018-1-24 18:38
  • 签到天数: 6 天

    [LV.2]偶尔看看I

    21

    主题

    27

    帖子

    156

    积分

    版主

    Rank: 7Rank: 7Rank: 7

    积分
    156

    最佳新人活跃会员热心会员推广达人宣传达人灌水之王突出贡献优秀版主荣誉管理论坛元老

    发表于 2018-1-19 19:06:18 | 显示全部楼层 |阅读模式
      无服务器体系架构(Serverless architectures)虽然免去了业务责任风险,但安全性应该仍然是头等大事。
      随着无服务器体系架构的兴起,应用程序安全性正在变得越来越复杂,这为应用程序的开发和管理提供了一种新的方式,以及新一轮的相关安全风险。

      无服务器体系架构,也称为功能即服务(FaaS),让企业在不维护物理或虚拟服务器的情况下构建和部署软件。这就像Amazon、Microsoft、谷歌和IBM这样的供应商的工作,它们分别运行受欢迎的服务器架构AWS、Azure功能、谷歌云功能和IBM BlueMix云功能。

      无服务器应用程序的常见用例是修改媒体文件,如果有人将文件上传到AWS S3云存储,应用程序可以调用一个函数来自动调整图像的大小。如果有人在聊天机器人的应用程序中发送短信,则有单独的功能可以回复短信。

      企业希望使用无服务器架构来驱动简单性和降低成本。随着云工作负载的增长,在这些平台上构建的应用程序规模越来越大,因此开发人员可以专注于产品功能,而不必担心操作系统、应用服务器或软件运行时环境,PureSec CTO解释说。

      Segal说:“你可以将事件驱动的应用程序连接在一起,同时你不必管理任何基础架构 ——它会自动扩展。“如果有一个事件,就会触发一个函数,如果有更多事件,那么Faas服务提供者需要具备支持更多事件的功能。

      上文中所说的成本效益是基于CPU时间的计费模式,如果没有这种计算模式,组织就不会支付任何费用。通常FaaS的供应商每100毫秒计算一次。总之,在无服务器的环境中开发非常简单,且非常便宜” Segal补充说。

      无服务器体系架构的安全风险

      这种架构简单且经济高效,亦存在安全问题。Segal表示,无服务器应用程序仍然面临被破坏的风险,用户将安全补丁的责任移交给FaaS供应商,而传统的安全解决方案在这个领域并不存在问题。
      PureSec近日发布了“无服务器体系架构十大安全风险”,明确地列出了这些服务的安全风险。研究人员利用PureSec创建的算法和合作伙伴的数据,对GitHub上5000多个服务器项目进行了扫描。

      他解释说:“现在有很大一部分IT安全问题是云提供商的责任,企业安全管理员不能安装防病毒系统,防火墙系统和入侵检测系统等防护工具。你不能控制环境,你不能控制网络,你不能控制服务器。”

      主要的安全问题包括更大的攻击面。无服务器体系架构从广泛的事件源(HTTP API,云存储,物联网设备通信)中提取数据,当Web应用防火墙不能扫描这些数据时,就会增加攻击面。考虑到无服务器体系架构的新特性,攻击面也可能是复杂的。

      函数事件数据注入在PureSec发布的十大安全风险中排名第一,可见它的关键性和重要程度。注入缺陷是一种常见的风险,但是在无服务器体系架构中,它们不限于直接用户输入。无服务器体系可以从任何类型的事件源(云存储,SQL数据库)获取输入,并且每个输入可以由攻击者控制。

      第二个最关键的风险是破坏身份验证。无服务器的应用程序可以打包几十到数百个不同的函数。一些可以将过程整合在一起,其他人可能会使用不同源类型的事件。应用健壮的身份验证是必要且复杂的。用户必须确保服务器的功能和它与之交互的应用程序。

      报告解释说:“脆弱的身份验证实施可能使攻击者绕过应用程序逻辑并操纵其流程。这可能会让攻击者执行未经验证的操作。PureSec建议企业使用无服务器环境提供的身份验证工具。

      无服务器架构的发展正在引发安全方面的“范式转变”。 Segal说:如果我们用来保护基础设施,外围设备和网络,我们现在必须确保无服务器体系架构的安全。开发人员负责设计安全的应用程序,并确保其代码不会向应用程序层引入安全漏洞。




    上一篇:那些年我们一起炸过的服务器的时光,发家致富全靠维护
    下一篇:更安全,更便捷|开源数据库Redis优雅利用哲学
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    QQ|Archiver|手机版|小黑屋|好站群 ( 苏ICP备15018248号-1

    GMT+8, 2018-4-25 16:15 , Processed in 0.135628 second(s), 50 queries .

    Powered by Discuz! X3.2

    © 2001-2013 Comsenz Inc.

    快速回复 返回顶部 返回列表