自2018年以來，無服務(wù)器應(yīng)用取得了巨大的發(fā)展，提供了對更多數(shù)據(jù)的訪問，這些數(shù)據(jù)涉及組織如何利用無服務(wù)器應(yīng)用程序、其無服務(wù)器開發(fā)方法，以及與無服務(wù)器應(yīng)用程序的安全性和隱私性相關(guān)的最常見的經(jīng)常性錯誤。

 

此外，在過去的一年中，新的緩解方法已經(jīng)出現(xiàn)并日益標(biāo)準(zhǔn)化，例如無服務(wù)器安全平臺，以及云計(jì)算提供商提供的新功能，這有助于改善無服務(wù)器安全態(tài)勢。

 

2019年2月，云計(jì)算安全聯(lián)盟(CSA)與PureSec公司合作發(fā)布了一個(gè)名為“無服務(wù)器應(yīng)用程序的“12個(gè)最嚴(yán)重的風(fēng)險(xiǎn)”的新指南，其中包括來自幾十位無服務(wù)器行業(yè)思想領(lǐng)袖的建議和反饋，并且是對迄今為止在無服務(wù)器架構(gòu)上構(gòu)建應(yīng)用程序的潛在風(fēng)險(xiǎn)進(jìn)行分類的最全面的努力。該報(bào)告是針對處理無服務(wù)器應(yīng)用程序的安全和開發(fā)受眾編寫的，并且遠(yuǎn)遠(yuǎn)超出了指出風(fēng)險(xiǎn)的范圍。它提供解決措施、最佳實(shí)踐以及傳統(tǒng)應(yīng)用程序與無服務(wù)器應(yīng)用程序之間的比較。

 

以下列出了文檔中描述的12個(gè)最嚴(yán)重的風(fēng)險(xiǎn)，每個(gè)風(fēng)險(xiǎn)都有一個(gè)簡短描述：

 

 

無服務(wù)器功能可以使用來自每種類型事件源的輸入(AWS公司提供47個(gè)不同的事件源，這些事件源可以觸發(fā)一個(gè)AWS lambda函數(shù))，并且此類事件輸入可能包含不同的消息格式(取決于事件類型及其源)。這些事件消息的各個(gè)部分可能包含攻擊者控制的或其他危險(xiǎn)的輸入。這組豐富的事件源增加了潛在的攻擊面，并在試圖保護(hù)無服務(wù)器功能不受事件數(shù)據(jù)注入的影響時(shí)引入了復(fù)雜性。這一點(diǎn)尤其正確，因?yàn)樵赪eb環(huán)境中，無服務(wù)器架構(gòu)幾乎沒有被理解為開發(fā)人員知道哪些消息部分不應(yīng)該被信任(例如，GET/POST參數(shù)、HTTP頭等)。

 

 

由于無服務(wù)器架構(gòu)促進(jìn)了面向微服務(wù)的系統(tǒng)設(shè)計(jì)，因此為這種架構(gòu)構(gòu)建的應(yīng)用程序可能包含數(shù)十個(gè)(甚至數(shù)百個(gè))不同的無服務(wù)器功能，每個(gè)功能都有特定的用途。這些功能交織在一起并協(xié)調(diào)以形成整個(gè)系統(tǒng)邏輯。一些無服務(wù)器功能可能會公開公共Web API，而其他功能可能會充當(dāng)進(jìn)程或其他功能之間的“內(nèi)部粘合劑”。另外，一些功能可能消耗不同源類型的事件，例如云存儲事件、NoSQL數(shù)據(jù)庫事件、物聯(lián)網(wǎng)設(shè)備遙測信號，甚至是短信通知。對所有相關(guān)功能、事件類型和觸發(fā)器應(yīng)用提供訪問控制和保護(hù)的可靠身份驗(yàn)證方案是一項(xiàng)復(fù)雜的工作，如果不小心執(zhí)行，很容易出錯。

 

 

通用云服務(wù)(尤其是無服務(wù)器架構(gòu))提供了許多自定義選項(xiàng)和配置設(shè)置，以適應(yīng)特定需求、任務(wù)或周圍環(huán)境。某些配置參數(shù)對應(yīng)用程序的整體安全性狀態(tài)具有重要意義，應(yīng)予以關(guān)注，無服務(wù)器架構(gòu)供應(yīng)商提供的設(shè)置可能不適合開發(fā)人員的需要。配置錯誤的身份驗(yàn)證/授權(quán)是影響使用基于云計(jì)算存儲的應(yīng)用程序的普遍弱點(diǎn)。由于無服務(wù)器架構(gòu)的推薦最佳實(shí)踐設(shè)計(jì)之一是使功能無狀態(tài)，因此為無服務(wù)器架構(gòu)構(gòu)建的許多應(yīng)用程序依賴于云計(jì)算存儲基礎(chǔ)設(shè)施在執(zhí)行之間存儲和保存數(shù)據(jù)。

 

 

無服務(wù)器功能應(yīng)該只有執(zhí)行其預(yù)期邏輯所必需的特權(quán)，這一原則被稱為“最小特權(quán)”。由于無服務(wù)器功能通常遵循微服務(wù)概念，許多無服務(wù)器應(yīng)用程序包含幾十個(gè)、數(shù)百個(gè)甚至數(shù)千個(gè)功能。其是結(jié)果，管理功能權(quán)限和角色很快成為一項(xiàng)繁瑣的任務(wù)。在這種情況下，組織可能被迫對所有繁瑣使用單一的權(quán)限模型或安全角色，本質(zhì)上是授予對所有其他系統(tǒng)組件的完全訪問權(quán)限。當(dāng)所有功能共享同一組超權(quán)限時(shí)，單個(gè)功能中的漏洞最終會升級為系統(tǒng)范圍的安全災(zāi)難。

 

 

無服務(wù)器架構(gòu)的一個(gè)關(guān)鍵方面是它們位于組織數(shù)據(jù)中心外圍的云計(jì)算環(huán)境中。因此，“內(nèi)部部署”或基于主機(jī)的安全控制作為可行的保護(hù)解決方案變得無關(guān)緊要。反過來，這意味著為安全事件監(jiān)視和日志記錄而開發(fā)的任何進(jìn)程，工具和過程都將過時(shí)。雖然許多無服務(wù)器架構(gòu)供應(yīng)商提供了極其強(qiáng)大的日志記錄功能，但這些日志基本/開箱即用的配置并不總是適合提供完整的安全事件審計(jì)跟蹤。為了通過適當(dāng)?shù)膶徲?jì)跟蹤實(shí)現(xiàn)足夠的實(shí)時(shí)安全事件監(jiān)視，無服務(wù)器開發(fā)人員及其DevOps團(tuán)隊(duì)需要將適合其組織需求的日志邏輯拼接在一起。例如，他們必須從不同的無服務(wù)器功能和云計(jì)算服務(wù)收集實(shí)時(shí)日志。將這些日志推送到遠(yuǎn)程安全信息和事件管理(SIEM)系統(tǒng)。這通常需要組織首先將日志存儲在中間云存儲服務(wù)中。

 

 

通常，無服務(wù)器功能應(yīng)該是執(zhí)行單個(gè)離散任務(wù)的一小段代碼。功能通常依賴于第三方軟件包、開源庫，甚至通過API調(diào)用消耗第三方遠(yuǎn)程Web服務(wù)來執(zhí)行任務(wù)。但是，從易受攻擊的第三方依賴項(xiàng)導(dǎo)入代碼時(shí)，即使最安全的無服務(wù)器功能也會變得容易受到攻擊。

 

 

與應(yīng)用程序機(jī)密存儲相關(guān)的最常見的錯誤之一是將這些機(jī)密信息簡單地存儲在作為軟件項(xiàng)目一部分的純文本配置文件中。在這種情況下，任何對項(xiàng)目具有“讀取”權(quán)限的用戶都可以訪問這些秘密。如果項(xiàng)目存儲在公共存儲庫中，其情況會變得更糟。另一個(gè)常見的錯誤是將這些秘密以純文本形式存儲為環(huán)境變量。雖然環(huán)境變量是在無服務(wù)器功能執(zhí)行中保持?jǐn)?shù)據(jù)的有用方法，但在某些情況下，此類環(huán)境變量可能會泄漏并落入錯誤的人手中。

 

 

雖然無服務(wù)器架構(gòu)帶來了自動可擴(kuò)展性和高可用性的承諾，但它們也存在需要注意的限制和問題。如果應(yīng)用程序不是為正確處理并發(fā)執(zhí)行而設(shè)計(jì)的，則攻擊者最終可能會使應(yīng)用程序達(dá)到并發(fā)限制，并拒絕來自系統(tǒng)的其他用戶或云計(jì)算賬戶的服務(wù)。

 

 

無服務(wù)器的業(yè)務(wù)邏輯操作可以幫助攻擊者破壞應(yīng)用程序邏輯。使用此技術(shù)，攻擊者可以繞過訪問控制，提升用戶權(quán)限或發(fā)起DoS攻擊。業(yè)務(wù)邏輯操作是許多類型的軟件和無服務(wù)器架構(gòu)中的常見問題。但是，無服務(wù)器應(yīng)用程序是獨(dú)一無二的，因?yàn)樗鼈兺ǔＷ裱⒎?wù)設(shè)計(jì)范例，并包含許多離散功能。這些功能以特定順序鏈接在一起，從而實(shí)現(xiàn)整個(gè)應(yīng)用程序邏輯。

 

在存在多個(gè)功能的系統(tǒng)中，并且每個(gè)功能可以調(diào)用另一個(gè)功能，調(diào)用的順序?qū)τ趯?shí)現(xiàn)期望的邏輯可能是至關(guān)重要的。此外，設(shè)計(jì)可能假設(shè)某些功能僅在特定情況下調(diào)用，并且僅由授權(quán)的調(diào)用者調(diào)用。

 

無服務(wù)器應(yīng)用程序中的業(yè)務(wù)邏輯操作也可能發(fā)生在單個(gè)功能中，其中攻擊者可能在執(zhí)行功能期間利用不良設(shè)計(jì)或注入惡意代碼，例如，通過利用從不受信任的來源或受損的云計(jì)算資源加載數(shù)據(jù)的功能。

 

多功能調(diào)用過程可能成為攻擊者目標(biāo)的另一個(gè)相關(guān)場景是基于無服務(wù)器的狀態(tài)。其示例包括AWS Step Functions、Azure Logic Apps、Azure Durable Functions或IBM Cloud Functions序列提供的示例。

 

 

與標(biāo)準(zhǔn)應(yīng)用程序的調(diào)試功能相比，基于無服務(wù)器的應(yīng)用程序的逐行調(diào)試選項(xiàng)受到限制(并且更復(fù)雜)。當(dāng)無服務(wù)器功能利用本地調(diào)試代碼不可用的基于云計(jì)算的服務(wù)時(shí)，這種情況尤其明顯。因此，開發(fā)人員將經(jīng)常采用詳細(xì)的錯誤消息，啟用調(diào)試環(huán)境變量，并最終忘記在將代碼移動到生產(chǎn)環(huán)境時(shí)清理代碼。

 

 

與其他類型的現(xiàn)代軟件應(yīng)用程序類似，隨著時(shí)間的推移，一些無服務(wù)器功能和相關(guān)的云計(jì)算資源可能會過時(shí)并且應(yīng)該退役。應(yīng)定期去除過時(shí)的應(yīng)用程序組件，以減少不必要的成本，并減少可避免的攻擊面。過時(shí)的無服務(wù)器應(yīng)用程序組件可能包括：

 

•不推薦使用的無服務(wù)器功能版本

 

•不再相關(guān)的無服務(wù)器功能

 

•未使用的云計(jì)算資源(例如存儲桶、數(shù)據(jù)庫、消息隊(duì)列等)

 

•不必要的無服務(wù)器事件源觸發(fā)器

 

•未使用的用戶、角色或身份

 

•未使用的軟件依賴性

 

 

無服務(wù)器平臺為應(yīng)用程序開發(fā)人員提供本地磁盤存儲、環(huán)境變量和內(nèi)存，以便以與任何現(xiàn)代軟件堆棧類似的方式執(zhí)行計(jì)算任務(wù)。

 

為了使無服務(wù)器平臺能夠高效地處理新的調(diào)用并避免冷啟動，云計(jì)算提供商可能會將執(zhí)行環(huán)境(例如容器)重新用于后續(xù)的功能調(diào)用。

 

在無服務(wù)器執(zhí)行環(huán)境被重用于后續(xù)調(diào)用(其可能屬于不同的最終用戶或會話場景)的情況下，可能會留下敏感數(shù)據(jù)，并且可能會泄露。

 

開發(fā)人員應(yīng)始終將無服務(wù)器功能的執(zhí)行環(huán)境視為短暫的和無狀態(tài)的環(huán)境，并且不應(yīng)假設(shè)有關(guān)的可用性和完整性，最重要的是在調(diào)用之間處理本地存儲的數(shù)據(jù)。