Zabýváte se vývojem bezserverových aplikací? Zamysleli jste se nad jejich bezpečností? Jste si jisti, že vaše aplikace je chráněna před hrozbami?
S rostoucí popularitou bezserverových aplikací se zvyšuje i riziko jejich napadení. Existuje mnoho potenciálních slabých míst, která mohou být zneužita. Níže uvádíme hlavní hrozby, na které je třeba se zaměřit:
- Útoky typu Denial of Service (DoS)
- Manipulace s aplikační logikou
- Neoprávněné využívání zdrojů
- Vkládání škodlivých dat (Injekce)
- Nezabezpečené ověřování uživatelů
- Nezabezpečené ukládání dat
- Zranitelné integrace s API a nástroji třetích stran
Bezserverové aplikace vyžadují specifický přístup k zabezpečení, odlišný od tradičních aplikací. Je nutné se zaměřit na zabezpečovací funkce. Proto je vhodné využít specializované platformy, které poskytují komplexní ochranu, a také jiný typ monitorování a ladění.
Doporučujeme prostudovat si průvodce od PureSec, který se zaměřuje na 12 nejzávažnějších bezpečnostních rizik pro bezserverové aplikace.
Pojďme se podívat na konkrétní řešení.
PureSec
PureSec nabízí komplexní zabezpečení pro AWS Lambda, Google Cloud Functions, IBM Cloud Functions a Azure Functions. Je kompatibilní s mnoha populárními platformami a nástroji, jako například:
- Gitlab
- Splunk
- Summit
- Jenkins
- AWS Cloudformation
- Serverless Framework
Bezserverový aplikační firewall PureSec dokáže detekovat a předcházet útokům na úrovni funkce (event-data layer) bez vlivu na výkon. Detekční modul je schopen analyzovat typ událostí, které spouští funkce, jako jsou NoSQL databáze, API, Cloud Storage, Pub/Sub a další.
Jejich bezpečnostní knihovna FunctionShield umožňuje vývojářům implementovat bezpečnostní mechanismy pro řešení běžných situací. Je dostupná pro Node.js, Python a Java.
Výhody používání FunctionShield:
- Prevence úniku dat monitorováním odchozího síťového provozu z funkcí.
- Ochrana proti úniku zdrojového kódu.
- Kontrola spouštění podřízených procesů.
- Konfigurace v režimu výstrahy pro logování bezpečnostních událostí nebo blokování spuštění v případě porušení pravidel.
FunctionShield přidává k celkové době provedení méně než 1 milisekundu latence.
Snyk
Snyk je oblíbené open-source řešení pro monitorování, vyhledávání a opravu zranitelností v závislostech aplikací. Nedávno přidali integraci s AWS Lambda a Azure Functions, která umožňuje analyzovat nasazené aplikace a odhalit případné zranitelnosti.
V případě detekce zranitelnosti můžete být informováni emailem nebo prostřednictvím Slacku.
Frekvenci testování lze nastavit dle potřeby.
Aqua
Aqua nabízí komplexní zabezpečení pro bezserverové kontejnery i funkce.
Aqua skenuje kontejnery a funkce, hledá známé i neznámé zranitelnosti v knihovnách, konfiguracích a oprávněních. Lze ji integrovat do CI/CD procesů.
Twistlock
Chraňte své aplikace v každé fázi vývoje s pomocí Twistlock.
Twistlock skenuje a chrání všechny funkce v reálném čase a pomáhá odhalovat zranitelnosti. Mezi jeho klíčové funkce patří:
- Podpora pro Python, .Net, Java a Node.js.
- Cloudový firewall pro nepřetržité monitorování a prevenci hrozeb.
- Šablony pro splnění norem HIPPA a PCI.
- Integrace s TeamCity a Jenkins.
- Správa zranitelností.
Twistlock využívá strojové učení pro automatickou ochranu a tvorbu bezpečnostních pravidel.
Závěr
Zabezpečení aplikací je klíčové bez ohledu na to, zda se jedná o bezserverové, či tradiční aplikace. Většina zmiňovaných platforem nabízí bezplatnou zkušební verzi, takže si můžete vyzkoušet, které řešení nejlépe vyhovuje vašim potřebám. Pokud se chcete hlouběji seznámit s AWS Lambda a Serverless frameworkem, doporučujeme tento online kurz.
Líbil se vám tento článek? Podělte se o něj s ostatními!