AWS Lambda Security
Что такое AWS Lambda Security?
AWS Lambda SecurityThe security model and operational hardening of AWS Lambda functions — execution role least-privilege, layer integrity, code-signing, environment-variable secrets, VPC posture, and runtime threats specific to ephemeral compute.
AWS Lambda security combines familiar appsec concerns with serverless-specific risks. Each function ships with an execution IAM role that the function code can assume in-process via STS, so over-broad role policies turn a single vulnerable function into broad cloud access — the leading Lambda finding in cloud audits. Lambda layers and container images introduce a software-supply-chain surface: a malicious or compromised layer is shared across many functions and rarely re-scanned. Environment variables are the default way to inject secrets but are visible in IAM `lambda:GetFunctionConfiguration` and to anyone who can invoke `aws lambda update-function-configuration`; Secrets Manager / Parameter Store references are preferred. VPC-attached Lambdas inherit network posture: a function in a misconfigured subnet can reach internal services it should not. Runtime threats — cryptojacking miners, info-stealers — have appeared but are less common than in EC2 due to short-lived execution. AWS Code Signing and Lambda function URLs added authentication and signed-deployment options in 2022. Defenses include least-privilege execution roles, layer pinning and signing, secrets via Secrets Manager not env vars, dedicated VPC/subnet design, CloudTrail data events for invocation logs, and runtime monitoring (Sysdig, Datadog, AWS GuardDuty Runtime Monitoring for Lambda).
● Примеры
- 01
A function reads secrets from AWS Secrets Manager at cold start, with its execution role limited to one specific secret ARN.
- 02
GuardDuty Runtime Monitoring flags a Lambda function that began making outbound DNS queries to a known mining pool.
● Частые вопросы
Что такое AWS Lambda Security?
The security model and operational hardening of AWS Lambda functions — execution role least-privilege, layer integrity, code-signing, environment-variable secrets, VPC posture, and runtime threats specific to ephemeral compute. Относится к категории Облачная безопасность в кибербезопасности.
Что означает AWS Lambda Security?
The security model and operational hardening of AWS Lambda functions — execution role least-privilege, layer integrity, code-signing, environment-variable secrets, VPC posture, and runtime threats specific to ephemeral compute.
Как работает AWS Lambda Security?
AWS Lambda security combines familiar appsec concerns with serverless-specific risks. Each function ships with an execution IAM role that the function code can assume in-process via STS, so over-broad role policies turn a single vulnerable function into broad cloud access — the leading Lambda finding in cloud audits. Lambda layers and container images introduce a software-supply-chain surface: a malicious or compromised layer is shared across many functions and rarely re-scanned. Environment variables are the default way to inject secrets but are visible in IAM `lambda:GetFunctionConfiguration` and to anyone who can invoke `aws lambda update-function-configuration`; Secrets Manager / Parameter Store references are preferred. VPC-attached Lambdas inherit network posture: a function in a misconfigured subnet can reach internal services it should not. Runtime threats — cryptojacking miners, info-stealers — have appeared but are less common than in EC2 due to short-lived execution. AWS Code Signing and Lambda function URLs added authentication and signed-deployment options in 2022. Defenses include least-privilege execution roles, layer pinning and signing, secrets via Secrets Manager not env vars, dedicated VPC/subnet design, CloudTrail data events for invocation logs, and runtime monitoring (Sysdig, Datadog, AWS GuardDuty Runtime Monitoring for Lambda).
Как защититься от AWS Lambda Security?
Защита от AWS Lambda Security обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия AWS Lambda Security?
Распространённые альтернативные названия: Serverless security (Lambda), Lambda hardening.
● Связанные термины
- cloud-security№ 1122
Безопасность serverless
Практика защиты событийно-ориентированных функциональных нагрузок (AWS Lambda, Azure Functions, Google Cloud Functions), где базовые серверы управляются провайдером.
- cloud-security№ 486
Функции как услуга (FaaS)
Бессерверная облачная модель, при которой короткоживущие функции запускаются по требованию в ответ на события, а серверы, масштабирование и среда исполнения управляются провайдером.
- cloud-security№ 561
Неправильная настройка IAM (облако)
Небезопасные или избыточно разрешающие настройки облачного IAM, позволяющие пользователям, ролям или сервисам выполнять действия за пределами реальных потребностей.
- cloud-security№ 212
Кража облачных токенов
Хищение OAuth-, SAML- или подписывающих токенов у облачной службы идентификации и их повторное использование для выдачи себя за пользователей или сервисы без паролей.
- appsec№ 512
Хардкод секретов в коде
Встраивание учётных данных, API-ключей, токенов или криптографического материала прямо в исходный код, конфигурационные файлы или контейнерные образы, откуда их легко обнаружить и использовать злоумышленникам.
- identity-access№ 955
Принцип наименьших привилегий
Принцип безопасности, согласно которому каждому пользователю, процессу или сервису выдаётся только тот минимум прав, который строго необходим для его задач.