Serverless-Sicherheit

Serverless verlagert Patching und Host-Sicherheit zum Anbieter, bringt aber neue Risiken: viele kleine Funktionen, kurze Lebenszeit, ein Wildwuchs an Event-Quellen (S3, SQS, EventBridge, API Gateway) und eng verflochtene IAM-Berechtigungen. Wichtige Kontrollen sind: pro Funktion Least-Privilege-Ausführungsrollen, signierte Deployment-Pakete mit SBOM, Dependency-Scans (SCA), Validierung untrusted Event-Payloads, verschlüsselte Umgebungsvariablen, kurze Timeouts und Concurrency-Limits gegen Missbrauch, RASP oder eBPF-Telemetrie der Plattform. OWASP Serverless Top 10 und Leitfäden der Cloud Security Alliance beschreiben typische Probleme wie Event-Injection, überprivilegierte Funktionen und unsichere Deployment-Konfigurationen.