Segurança serverless
O que é Segurança serverless?
Segurança serverlessPrática de proteger cargas baseadas em eventos e funções, como AWS Lambda, Azure Functions e Google Cloud Functions, em que os servidores subjacentes são geridos pelo fornecedor.
O serverless transfere o patching e a segurança do host para o fornecedor, mas introduz novos riscos: muitas funções pequenas, execução efémera, proliferação de fontes de eventos (S3, SQS, EventBridge, API Gateway) e permissões IAM muito acopladas. Controlos-chave: papéis de execução de menor privilégio por função, pacotes de implantação assinados com SBOM, análise de dependências (SCA), validação de eventos não fiáveis, variáveis de ambiente cifradas, timeouts curtos e limites de concorrência para mitigar abusos, RASP ou telemetria eBPF da plataforma. O OWASP Serverless Top 10 e os guias da Cloud Security Alliance descrevem problemas típicos: injeção de eventos, funções sobreprivilegiadas e configurações de implantação inseguras.
● Exemplos
- 01
Uma AWS Lambda com papel IAM a permitir s3:* em todos os buckets devido a um erro em CloudFormation.
- 02
Datadog ou Snyk a analisar dependências de Lambda e a sinalizar pacotes npm vulneráveis.
● Perguntas frequentes
O que é Segurança serverless?
Prática de proteger cargas baseadas em eventos e funções, como AWS Lambda, Azure Functions e Google Cloud Functions, em que os servidores subjacentes são geridos pelo fornecedor. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Segurança serverless?
Prática de proteger cargas baseadas em eventos e funções, como AWS Lambda, Azure Functions e Google Cloud Functions, em que os servidores subjacentes são geridos pelo fornecedor.
Como se defender contra Segurança serverless?
As defesas contra Segurança serverless costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Segurança serverless?
Nomes alternativos comuns: Segurança FaaS, Segurança Lambda.