¿Qué es la seguridad sin servidor?

La llegada de la seguridad sin servidor ha transformado rápidamente el panorama del desarrollo. Los desarrolladores y especialistas en TI pueden centrarse en desarrollar aplicaciones personalizadas sin tener que gestionar servidores o infraestructuras subyacentes. Sin embargo, este nuevo nivel libertad plantea desafíos de seguridad para las cargas de trabajo sin servidor que los desarrolladores no deben pasar por alto. 

En las arquitecturas sin servidor, las responsabilidades de seguridad se dividen entre el proveedor de la nube y el cliente, de acuerdo con lo que se conoce como modelo de responsabilidad compartida. Mientras que los proveedores de la nube se encargan de cuestiones como la seguridad de la infraestructura subyacente, los clientes son los responsables de preservar la seguridad de sus aplicaciones, configuraciones y controles de acceso. Comprender y gestionar esta división de responsabilidades es vital para que los entornos sin servidor sean seguros.

Actualmente, los principales proveedores de nube ofrecen algún tipo de seguridad sin servidor (como AWS Lambda, las funciones de Google Cloud Run y Azure Functions). Sin embargo, hay un inconveniente: cada implementación es específica de ese proveedor de la nube en concreto.

Las funciones sin servidor generan desafíos únicos para la seguridad. Cuando la gestión a nivel del sistema operativo no es una preocupación, las preocupaciones se limitan al código en ejecución (como el paquete o contenedor creado) y a los controles de acceso para llamar a la función sin servidor (ya sea a través de una llamada web como Amazon API Gateway o a través de una invocación específica del proveedor de la nube, como un evento). A diferencia de las configuraciones tradicionales, en las que la seguridad suele centrarse en el mantenimiento y la protección de recursos de larga duración, como máquinas virtuales y servidores locales, las arquitecturas sin servidor son dinámicas y muy efímeras. En este artículo, hablaremos de las particularidades de la seguridad en la computación sin servidor, de los retos que presenta y de cómo solventarlos.

Las particularidades de la seguridad en la computación sin servidor

Una de las principales ventajas de la computación sin servidor es su rentabilidad; las organizaciones solo pagan por la instancia sin servidor mientras está en funcionamiento. Sin embargo, monitorizar la actividad de los contenedores efímeros (en los que las instancias solo se ejecutan cuando se activan) presenta dificultades. Monitorizar la seguridad y la gestión de recursos en una arquitectura sin servidor es mucho más complejo que en los entornos de monitorización tradicionales a largo plazo. Las organizaciones deben contar con un agente o una herramienta de monitorización que pueda gestionar el rápido aprovisionamiento y la breve vida útil de los contenedores sin servidor; algo indispensable para que la supervisión sea exhaustiva.

La responsabilidad compartida de la seguridad entre los proveedores de la nube y los especialistas en TI no es un tema sencillo en la computación sin servidor. Proteger las cargas de trabajo implica saber configurar correctamente los ajustes específicos del proveedor de la nube y colaborar con ese proveedor si se produce un problema de seguridad, en lugar de confiar únicamente en el equipo de TI propio.

La descentralización (poder configurar e iniciar instancias en diferentes regiones y zonas de disponibilidad según las necesidades) es una ventaja de los entornos sin servidor. Sin embargo, este nivel de distribución introduce más puntos de entrada potenciales para los ciberdelincuentes. Cada instancia que se ejecuta en una ubicación diferente puede interactuar con varios servicios, almacenes de datos o redes; y todos ellos requieren configuraciones y controles de acceso seguros. Mantener la uniformidad de las directivas de seguridad en un entorno tan amplio puede resultar complejo, lo que aumenta la probabilidad de que se produzcan errores de configuración o que se pasen por alto vulnerabilidades que los ciberdelincuentes puedan aprovechar. 

Otra ventaja de la computación sin servidor es la capacidad de programar o ejecutar invocaciones de funciones a partir de eventos. Los desarrolladores pueden ejecutar funciones sin servidor poniendo un mensaje en una cola o subiendo un archivo a un bucket de almacenamiento en la nube. El inconveniente es que estas fuentes de eventos pueden convertirse en vectores de ataque que los ciberdelincuentes pueden aprovechar para invocar funciones maliciosas. De ahí que las fuentes de eventos necesiten tanta seguridad como las funciones sin servidor.

Principales retos de seguridad en los entornos sin servidor

Más allá de los desafíos a nivel de la arquitectura, veamos algunos retos clave en el espacio de seguridad sin servidor:

Herramientas y tecnologías de seguridad para los entornos sin servidor

Las mejores prácticas de los proveedores de la nube pueden reforzarse con la implementación de herramientas de seguridad unificadas que monitoricen las vulnerabilidades y amenazas de seguridad a lo largo del ciclo de vida del desarrollo.

La protección en tiempo de ejecución monitoriza continuamente las implementaciones sin servidor, bloquea determinadas llamadas que un actor malicioso puede ejecutar sobre un equipo comprometido, y alerta al equipo de seguridad en el mismo momento que ocurre una evento anómalo. Esta protección de los entornos sin servidor también proporciona información sobre la monitorización de la seguridad, alertas relacionadas con errores de configuración y vulnerabilidades implementadas, y otra información de seguridad relevante sobre los contenedores.

La integración con la canalización de integración continua/entrega continua (IC/EC) también es esencial para el ciclo de vida de seguridad de los entornos sin servidor. En los contextos de entrega continua, las organizaciones deben incorporar controles de seguridad sin servidor al inicio del proceso de desarrollo, donde los cambios se entregan con frecuencia a un entorno de producción.

Empieza a usar CrowdStrike

La arquitectura sin servidor permite a los desarrolladores ejecutar sus aplicaciones sin preocuparse por la gestión del servidor y les brinda la oportunidad de aprovechar la rentabilidad intrínseca de los sistemas descentralizados, basados en eventos y efímeros. Aunque la computación sin servidor ofrece una gran flexibilidad y escalabilidad, se requieren prácticas de seguridad específicas para su protección; de lo contrario, detectar problemas en un entorno tan dinámico y basado en eventos resultará complicado.

Para lograr una protección integral, CrowdStrike Falcon® Cloud Security se integra a la perfección con los principales proveedores de la nube y protege las implementaciones sin servidor. Inicia una prueba gratuita hoy mismo y protege tus funciones sin servidor con confianza.