Sécurité serverless
Qu'est-ce que Sécurité serverless ?
Sécurité serverlessPratiques de sécurité pour les workloads orientés événements et fonctions (AWS Lambda, Azure Functions, Google Cloud Functions) où les serveurs sous-jacents sont gérés par le fournisseur.
Le serverless transfère le patching et la sécurité de l'hôte au fournisseur, mais introduit de nouveaux risques : multitude de petites fonctions, exécution éphémère, multiplication des sources d'événements (S3, SQS, EventBridge, API Gateway) et permissions IAM très imbriquées. Les contrôles clés incluent : rôles d'exécution de moindre privilège par fonction, packages de déploiement signés avec SBOM, scan des dépendances (SCA), validation des événements non fiables, variables d'environnement chiffrées, timeouts et limites de concurrence courts pour limiter l'abus, RASP ou télémétrie eBPF de la plateforme. L'OWASP Serverless Top 10 et les guides de la Cloud Security Alliance décrivent des problèmes courants : injection d'événements, fonctions sur-privilégiées, configurations de déploiement non sécurisées.
● Exemples
- 01
Une AWS Lambda dont le rôle IAM autorise s3:* sur tous les buckets à cause d'une faute de frappe dans CloudFormation.
- 02
Datadog ou Snyk scannent les dépendances Lambda et signalent des paquets npm vulnérables.
● Questions fréquentes
Qu'est-ce que Sécurité serverless ?
Pratiques de sécurité pour les workloads orientés événements et fonctions (AWS Lambda, Azure Functions, Google Cloud Functions) où les serveurs sous-jacents sont gérés par le fournisseur. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie Sécurité serverless ?
Pratiques de sécurité pour les workloads orientés événements et fonctions (AWS Lambda, Azure Functions, Google Cloud Functions) où les serveurs sous-jacents sont gérés par le fournisseur.
Comment se défendre contre Sécurité serverless ?
Les défenses contre Sécurité serverless combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Sécurité serverless ?
Noms alternatifs courants : Sécurité FaaS, Sécurité Lambda.