Start Cloud Serverless Computing sichern, das neueste Cloud-Paradigma

Serverless Computing sichern, das neueste Cloud-Paradigma [Q&A]

58
0


Cloud-Vorhängeschloss

Der Mangel an Cloud-Fähigkeiten hat Sicherheit zu einer großen Herausforderung für Unternehmen gemacht. Tatsächlich ist heute praktisch jede Datenverletzung in der Cloud auf menschliches Versagen und nicht auf brillantes Hacken zurückzuführen. Hacker machen sich nicht einmal die Mühe, Angriffe in der Public Cloud zu starten; Sie suchen einfach nach falsch konfigurierten Systemen, die Daten offen lassen.

Vor diesem Hintergrund setzt sich ein ganz neues Cloud-Modell durch – Serverless Computing. Was wird in einer Welt, in der Cloud-Zertifizierungen und Sicherheitskompetenzen bereits knapp sind und Chaos in der Cloud verursachen, dieses Problem für Unternehmen noch verschlimmern? Können Unternehmen mit diesem neuen Paradigma die gleichen Fehler wie in traditionellen Cloud-Umgebungen vermeiden?

Um etwas Licht in dieses Thema zu bringen, haben wir mit Joe Vadakkan, Cloud Security Leader bei ., gesprochen Optiv-Sicherheit, dem weltweit größten Integrator von Sicherheitslösungen.

BN: Was ist serverloses Computing?

JV: Serverless Computing oder Function-as-a-Service (FaaS) ist ein Cloud-Computing-Modell, das es Entwicklern ermöglicht, einzelne Codefunktionen bereitzustellen und auszuführen, anstatt ganze Anwendungen bereitstellen zu müssen. Dienste wie AWS Lambda und Microsoft Azure Functions, die schnell an Popularität gewinnen, bieten FaaS-Plattformen, die Serverless Computing und True Utility Computing Realität werden lassen, indem sie es Entwicklern ermöglichen, Codefunktionen in der Cloud anstelle von ganzen Anwendungen bereitzustellen und nur dafür zu bezahlen die genaue Ressourcennutzung dieser Funktionen in einer vollständig automatisierten Umgebung, anstatt die Kapazität für die Ausführung ganzer Anwendungen, die ein menschliches Management erfordern, im Voraus zu bezahlen. Anstatt eine Anwendung in einer diskreten virtuellen Maschine bereitzustellen, stellen Entwickler ihre Anwendungsfunktionalität direkt auf einer FaaS-Plattform bereit, und alle zugrunde liegenden traditionellen Serverfunktionen (Computer, Arbeitsspeicher, Backup, Speicher usw.) werden abstrahiert und verwaltet durch den Cloud-Anbieter.

Dieses Modell bietet Entwicklern eine Reihe von Vorteilen, darunter reduzierter Sicherheitsaufwand, Kosteneinsparungen, höhere Produktivität und automatische Skalierung. Aus diesem Grund sehen wir eine zunehmende Akzeptanz dieses neuen Cloud-Paradigmas.

BN: Wie unterscheidet es sich vom traditionellen Cloud Computing?

JV: Serverless Computing ist eine Art von Cloud Computing, aber es gibt zwei wesentliche Unterschiede zwischen den beiden Modellen, die es zu beachten gilt. Erstens automatisiert Serverless Computing Sicherheits- und Datenbankverwaltungsaufgaben wie Patching, Speicherung und Backup, die in einer traditionellen Cloud-Umgebung von den Endbenutzern manuell verwaltet werden müssen.

Der zweite große Unterschied zwischen den beiden Computing-Modellen liegt in der Aufteilung der Verantwortlichkeiten zwischen Cloud-Anbieter und Anwendungseigner. In einer traditionellen Cloud-Umgebung sind die Endbenutzer für die Sicherung von Betriebssystemen, Anwendungen und Daten verantwortlich. Beim serverlosen Computing wird mehr Verantwortung für die Sicherung der zugrunde liegenden Plattform auf den Cloud-Anbieter übertragen, sodass sich Entwickler wirklich nur auf die Sicherung der Daten und der Codeschicht konzentrieren müssen.

BN: Unternehmen stehen weiterhin vor Herausforderungen hinsichtlich der Cloud-Sicherheit, und jetzt ist serverloses Computing im Spiel. Was macht es schwierig, diese Umgebungen abzusichern?

JV: Zuerst die gute Nachricht. Da in einer serverlosen Umgebung die Verantwortung für die Sicherung der zugrunde liegenden Infrastruktur an den Cloud-Anbieter und nicht an den Endbenutzer delegiert wird, können sich Entwickler auf die Sicherheitsexpertise des Cloud-Anbieters verlassen, anstatt selbst Experten zu werden. Dies sollte dazu beitragen, die Sicherheitslage von Unternehmen zu verbessern, während Entwickler sich auf das konzentrieren können, was sie am besten können: Code schreiben und bereitstellen.

Allerdings haben serverlose Umgebungen ihre eigenen Sicherheitsherausforderungen. Die wichtigsten unter ihnen sind Entwickler, die Code in FaaS-Umgebungen bereitstellen, ohne ihre Sicherheitsorganisationen zu konsultieren, was die Tür zu einem erheblichen Risiko durch Code-Injektions-/Modifikationsangriffe und dergleichen öffnet. Zum Beispiel könnte ein böswilliger Akteur Code oder einen Programmablauf so ändern, dass er sagt: „Anstatt X zu tun, tun Sie Y“ (denken Sie an die Änderung der IoT-Telemetriesignale in der Injektion), wodurch die Angriffsfläche explodiert.

Benutzer- und Funktionszugriff sind ebenfalls wichtige Anliegen. Wenn Benutzer und Funktionen mehr Zugriff haben als nötig, ist der Schaden nach einem Angriff viel größer, als wenn die richtigen Zugriffskontrollen durchgesetzt würden.

BN: Wie können Unternehmen solide Strategien zur Absicherung serverloser Umgebungen entwickeln?

JV: In erster Linie müssen Unternehmen der Sicherheit zu Beginn aller serverlosen Geschäftsinitiativen Priorität einräumen, anstatt sie im Nachhinein zu belassen. Wir sehen, dass immer mehr Unternehmen diesen Ansatz mit einem DevSecOps-Modell verfolgen.

Weitere wichtige Elemente einer sicheren serverlosen Umgebung sind:

  • Verschlüsselung – Es ist nicht ungewöhnlich, dass Unternehmen „geheime“ Informationen wie API-Schlüssel, Passwörter und Konfigurationseinstellungen im Klartext speichern. In der ausgeklügelten Bedrohungslandschaft von heute ist dies nicht mehr akzeptabel. Sicherheitsteams müssen sicherstellen, dass Schlüssel in Funktionen auf andere Weise wie KMS-Funktionalität, Parameterspeicher und Lambda-Handler ordnungsgemäß behandelt werden. Sie müssen auch sicherstellen, dass alle Daten – sowohl im Ruhezustand als auch während der Übertragung – verschlüsselt sind.
  • Identitäts- und Zugriffsverwaltung (IAM) — Allzu oft haben Entwickler mehr Zugriff, als sie zum Erstellen, Bereitstellen und Ändern von Code benötigen, und Funktionen haben universellen Zugriff auf alle „Geheimnisse“ und Ressourcen aus allen Umgebungen. Sicherheitsteams müssen ermitteln, wer Code und Funktionen entwickelt, und dann die richtigen Zugriffskontrollen implementieren. Befolgen Sie das Prinzip des Zugriffs mit den geringsten Berechtigungen, der Benutzern nur die Zugriffsrechte gibt, die sie für die erfolgreiche Ausführung ihrer Aufgaben und Funktionen benötigen, und nur die Berechtigungen, die zum Ausführen der beabsichtigten Logik erforderlich sind. IAM ist eine der effektivsten Methoden, um Ressourcen zu segmentieren und die Gefährdung im Falle eines Angriffs zu begrenzen.
  • Sicherheit auf Code-Ebene — Beim Serverless Computing liegen die potenziellen Angriffsziele nicht mehr auf Server-Ebene; sie sind auf Codeebene. Vor diesem Hintergrund müssen Sicherheitsteams Sicherheitskontrollen in den Anwendungscode selbst integrieren, um Code-Injection-Angriffe und andere Ausbeutungsmethoden zu verhindern.
  • Echtzeit-Überwachungs- und Protokollierungslösungen — Einige Anbieter von Serverless Computing bieten Protokollierungsfunktionen, aber oft sind sie nicht robust genug, um eine vollständige Sicherheits- und Audit-Überwachung zu gewährleisten. Die Bereitstellung von Lösungen, die Protokolle von verschiedenen serverlosen Funktionen und Cloud-Diensten aggregieren und dann an ein Sicherheitsinformations- und Ereignisverwaltungssystem (SIEM) senden, kann bei der Erkennung von Bedrohungen und der Reaktion auf Vorfälle sehr wirkungsvoll sein.

Vor allem müssen sich Unternehmen die Zeit nehmen, die Fehler, die sie bei der Sicherung von Cloud-Umgebungen gemacht haben, zu erkennen und daraus zu lernen, damit sie sie in der serverlosen Welt nicht wiederholen.

Bildnachweis: Jirsak/Shutterstock



Vorheriger ArtikelDebian Buster-basierte Netrunner 19.08 ‚Indigo‘ KDE-fokussierte Linux-Distribution ist der perfekte Windows-Ersatz
Nächster ArtikelDas neue Konzeptvideo von iOS 13 ist vollgepackt mit aufregenden Funktionen

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein