当前位置:首页 > 智能硬件 > 安全设备/系统
[导读] 无服务器架构(也称为功能即服务FaaS)在企业中用于构建和部署软件和服务,不需要内部物理或虚拟服务器。这种架构倍受青睐,因为它本身具有的可扩展性,和与AWS Lambda、Azure Funct

无服务器架构(也称为功能即服务FaaS)在企业中用于构建和部署软件和服务,不需要内部物理或虚拟服务器。这种架构倍受青睐,因为它本身具有的可扩展性,和与AWS Lambda、Azure Functions、Google Cloud FuncTIons和IBM BlueMix Cloud FuncTIons等云服务的兼容性。

然而,正如PureSec的一份新报告所指出的,这种架构对于传统基于服务器系统所面临的那些安全问题和挑战也并不具有免疫力。周三,无服务器架构安全公司PureSec发布了一份新的报告,详细介绍了当今这些系统面临的最常见的安全问题和挑战。这份题为“无服务器体系结构中十大关键安全风险”的报告表明,以下10个问题正在引发当今的安全挑战:

1、功能事件数据植入:应用中植入的漏洞是最常见的风险之一,不仅可以通过不可信的输入(如通过Web API调用)触发,也可由于无服务器体系结构的潜在攻击面引起,也可能是来自于云存储事件、NoSQL数据库、代码更改、消息队列事件和物联网遥测信号等等。

“这些丰富的事件源增加了潜在的攻击面,并在尝试保护无服务器功能以防止事件数据注入时引入了复杂性,特别是因为无服务器体系结构几乎不像Web环境那样,开发人员知道哪部分消息不应该被理解被信任(GET / POST参数、HTTP标头等),”报告称。

2、认证失效:为无服务器体系结构构建的应用通常包含数十个甚至数百个无服务器功能,每个都有特定的用途。这些功能连接在一起形成整个系统逻辑,但其中一些功能可能公开Web API,其他函数可能会消耗来自不同源类型的事件,还有一些功能具有可能被攻击的编码问题,从而导致未经授权的认证。

3、不安全的无服务器部署配置:PureSec发现,错误的设置和云服务的误配置是一个常见的主题。这反过来又可能成为无服务器体系结构的攻击入口,泄露敏感的、机密的信息的泄漏,以及为潜在的中间人攻击(MiTM)提供入口点。

4、超权限的功能许可和角色:无服务器应用以及整个企业系统都应该遵循“最小权限”的原则。如果用户得到了超出他们日常工作所需的访问权限,那么攻击者是否会攻击他们的账户?他们得到了入侵的许可,而这原本是可以避免的——对应用也是如此。但是,PureSec发现这种原则并没有被遵循。无服务器功能应该只有所需的权限,但因为设置这些权限可能是面向几十种功能的,所以这方面往往被忽略,并成为一个安全弱点。

5、监控和日志功能不足:在侦察攻击的阶段,威胁实施者试图击破网络防御和弱点,这对网络安全解决方案检测可疑行为并关闭该行为也是一个关键点。由于无服务器架构是驻留在云环境中的,所以“本地”实时网络安全解决方案是多余的,这意味着可能会错过发现早期的攻击迹象。虽然无服务器系统通常提供了日志记录功能,但可能不适合安全监视或审计的目的。

6、不安全的第三方依赖关系:当无服务器功能依赖于第三方软件(如开源软件包和库)时,如果存在漏洞,也可能为被入侵开辟道路。

7、不安全的应用秘密存储:许多应用程序需要加密和存储“秘密”信息,例如API密钥、密码、配置设置和数据库凭证。但是,PureSec检测到的一个反复出现的错误,是将这些信息存储在纯文本配置文件中的常见做法,任何入侵者都可以随意利用。

8、DDoS攻击,资源达到极限:根据研究,分布式拒绝服务(DDoS)攻击对无服务器架构构成严重风险,因为可能存在内存分配、每个功能的持续时间和执行限制。默认限制和糟糕的配置可能导致DDoS攻击取得成功和延迟争夺问题。

9、无服务器功能执行流操作:攻击者可能通过篡改应用流来破坏应用逻辑,导致绕过访问控制、特权升级或拒绝服务攻击。

10、不正确的异常处理和冗长的错误消息:无服务器架构的逐行调试服务通常相当有限。因此,一些开发人员会用冗长的错误消息,在事实发生之后启用调试,并且在移到生产环境时可能会忘记清除代码。当暴露给最终用户时,这些消息可能会揭示有关无服务器功能和所用逻辑的信息,以及系统和机密数据中的弱点。

PureSec公司首席技术官兼共同创始人Ory Segal表示:“无服务器架构在过去几年里飞速增长,年增长率超过700%。我们的研究表明,与无服务器相关的软件下载体验呈指数级增长,但同时,与传统应用相比,无服务器的安全知识存在巨大空白。”

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

随着信息技术的飞速发展,网络安全问题日益凸显。作为一种重要的身份认证工具,密码器在保护用户信息安全方面发挥着至关重要的作用。本文将以Digipass 270密码器为例,详细论述其重启的作用、方法及其对保障信息安全的意义,...

关键字: 网络安全 密码器 Digipass 270

随着信息技术的飞速发展,网络安全已成为公众关注的焦点。然而,除了普遍认知的网络安全外,工业控制系统(Industrial Control Systems, ICS)的安全也日益受到重视。工控安全和网络安全虽然在某些方面存...

关键字: 工控安全 网络安全

基于 NVIDIA Jetson 平台进行开发的 1 万多家公司现在可以利用全新的生成式 AI、API 和微服务来加快推进行业数字化

关键字: 机器人 生成式 AI API

北京——2023年9月27日 近日,普华永道宣布与亚马逊云科技达成一项为期三年的全球战略合作协议(SCA),旨在加速创新、提高运营效率及推动商业变革。该合作将进一步增强普华永道利用云计算推动业务发展的专业技能,从而实现以...

关键字: 云计算 生成式AI 网络安全

凌云边缘计算除了与SASE协同运作,为客户提供云网安一体化服务,同时也满足用户的各类需求,可应用于实时渲染、线下零售、安全容灾、工业物联网、智慧城市、健康医疗、AI等应用场景。

关键字: 边缘计算 SASE 网络安全

无线传感器网络(WSN)在许多领域都得到了广泛应用,如环境监测、智能家居、农业自动化等。

关键字: 网络安全 无线传感器网络

随着互联网的普及和发展,网络服务器已成为信息共享和业务处理的重要基础设施。一方面,网络服务器负责处理和存储大量的网络数据,为各类网络应用提供稳定、高效的服务;另一方面,网络服务器也是网络安全的核心,面临着来自各方面的安全...

关键字: 网络服务器 网络安全

爱立信发布全球首个为开发者与企业提供通信和网络API的商业化运营商合作 API平台将为运营商开辟网络投资变现新途径,并驱动移动基础设施投资 北京2023年9月22日 /美通社/ -- 近日,爱立信利用网络...

关键字: API 爱立信 网络 德国电信

上海2023年9月22日 /美通社/ -- 2023年9月20-21日,由国际独立第三方检测、检验和认证机构德国莱茵TÜV集团(简称"TÜV莱茵...

关键字: 汽车 网络安全 芯片领域 ISO

早在14年前,美国就开始对华为发动网络攻击了,试图窃取华为的商业机密和技术信息——这是国家安全部最新披露的一个令人震惊的事实!

关键字: 华为 网络安全
关闭
关闭