CNAPPs para mais segurança na nuvem
Veja os benefícios e as dicas de integração para plataformas de proteção de aplicações nativas em nuvem. Melhore sua estratégia de segurança na nuvem
Faça o download do guia agora
CNAPPs para mais segurança na nuvem
Veja os benefícios e as dicas de integração para plataformas de proteção de aplicações nativas em nuvem. Melhore sua estratégia de segurança na nuvem
Faça o download do guia agora
O que é segurança sem servidor?
O advento da arquitetura sem servidor transformou rapidamente o cenário de desenvolvimento. Desenvolvedores e especialistas em TI podem se concentrar na criação de aplicações personalizadas sem gerenciar servidores ou infraestrutura subjacente. No entanto, essa nova liberdade traz desafios de segurança para workloads sem servidor que os desenvolvedores não devem ignorar.
Em arquiteturas sem servidor, as responsabilidades de segurança são divididas entre o provedor de nuvem e o cliente, de acordo com o que é conhecido como modelo de responsabilidade compartilhada. Enquanto os provedores de nuvem cuidam de aspectos como a proteção da infraestrutura subjacente, os clientes são responsáveis por proteger suas aplicações, configurações e controles de acesso. Entender e gerenciar essa divisão de responsabilidades é crucial para manter um ambiente sem servidor seguro.
Atualmente, todos os principais provedores de nuvem oferecem alguma forma de segurança sem servidor (como AWS Lambda, Google Cloud Run Functions e Azure Functions). No entanto, cada implementação tem a desvantagem de ser específica do provedor de nuvem.
Funções sem servidor apresentam desafios de segurança únicos. Quando o gerenciamento no nível do sistema operacional (SO) não é uma preocupação, as preocupações são reduzidas ao código em execução (como o pacote ou container criado) e aos controles de acesso para chamar a função sem servidor (por meio de uma chamada da Web como o Amazon API Gateway ou por meio de uma invocação específica do provedor de nuvem, como um evento). Diferentemente das configurações tradicionais, onde a segurança geralmente se concentra em manter e proteger recursos de longa duração, como máquinas virtuais e servidores no local, as arquiteturas sem servidor são dinâmicas e altamente efêmeras. Este artigo abordará como a segurança é diferente na computação sem servidor, os desafios da segurança sem servidor e como aliviar esses desafios.
Como a segurança é diferente na computação sem servidor
Uma vantagem significativa da computação sem servidor é sua eficiência de custo; as organizações pagam apenas pela instância sem servidor enquanto ela estiver em execução. No entanto, monitorar a atividade de containers efêmeros (onde as instâncias só são executadas quando acionadas) cria desafios. O monitoramento de segurança e o gerenciamento de recursos em uma arquitetura sem servidor são muito mais complexos do que em configurações tradicionais de monitoramento de longo prazo. As organizações precisam ter um agente ou uma ferramenta de monitoramento que possa lidar com o provisionamento rápido e a curta vida útil dos containers sem servidor. Isso é necessário para garantir uma supervisão abrangente.
A responsabilidade de segurança compartilhada entre provedores de nuvem e especialistas em TI para computação sem servidor pode ser complicada. Proteger workloads envolve saber como configurar corretamente as configurações específicas do provedor de nuvem e trabalhar com o provedor de nuvem no caso de um problema de segurança, em vez de simplesmente depender de uma equipe de TI local.
A descentralização — ser capaz de criar e computar instâncias em diferentes regiões e zonas de disponibilidade quando quiser — é um benefício de não ter servidor. No entanto, essa ampla distribuição também introduz mais pontos de entrada potenciais para invasores. Cada instância que é gerada em um local diferente pode interagir com vários serviços, armazenamentos de dados ou redes, todos os quais exigem configurações seguras e controles de acesso. Manter políticas de segurança consistentes nesse amplo ambiente pode se tornar complexo, aumentando a probabilidade de configurações incorretas ou vulnerabilidades negligenciadas que os invasores podem explorar.
Outra vantagem da computação sem servidor é a capacidade de agendar ou executar invocações de funções a partir de eventos. Os desenvolvedores podem executar funções sem servidor colocando uma mensagem em uma fila ou enviando um arquivo para um bucket de armazenamento em nuvem. A desvantagem é que essas fontes de eventos podem se tornar vetores de ataque que os atores de ameaças podem explorar para invocar funções maliciosas. Isso significa que as fontes de eventos exigem tanta segurança quanto as funções sem servidor.
Principais desafios de segurança em ambientes sem servidor
Indo além dos desafios de nível arquitetônico, vamos considerar alguns desafios importantes no espaço de segurança sem servidor:
| Desafio | Descrição | Maneiras de lidar com o desafio |
|---|---|---|
Isolamento de função | Proteger funções individuais sem servidor para evitar que uma vulnerabilidade em uma função afete inadvertidamente outra. |
|
Fluxo de dados e gerenciamento de acesso | Garantir a transmissão segura de dados entre funções sem servidor e serviços externos. |
|
Ataques de injeção de eventos | Proteção contra ameaças potenciais de gatilhos de eventos não confiáveis ou malformados. |
|
Dependências de terceiros | Conhecer os riscos associados ao uso de bibliotecas e integrações de terceiros em funções sem servidor. |
|
Ferramentas e tecnologias de segurança para ambientes sem servidor
As melhores práticas dos provedores de nuvem podem ser aprimoradas com a implementação de ferramentas de segurança unificadas para monitorar vulnerabilidades e ameaças de segurança em todo o ciclo de vida do desenvolvimento.
A proteção de tempo de execução monitora continuamente implementações sem servidor, bloqueia certas chamadas que um ator malicioso pode realizar em uma máquina comprometida e alerta a equipe de segurança no momento em que algo anômalo acontece. Essa proteção dos seus ambientes sem servidor também fornece insights de monitoramento de segurança, alertas relacionados a configurações incorretas e vulnerabilidades implementadas, além de outras informações de segurança relevantes sobre containers.
A integração com pipelines de integração contínua/entrega contínua (CI/CD) também é essencial para o ciclo de vida da segurança sem servidor. Em cenários de entrega contínua, as organizações devem incorporar verificações de segurança sem servidor no início do processo de desenvolvimento, onde as alterações são frequentemente entregues a um ambiente de produção.
Primeiros passos com a CrowdStrike
A arquitetura sem servidor apresenta uma maneira para os desenvolvedores executarem suas aplicações sem as preocupações de gerenciamento de servidor. Também lhes oferece a oportunidade de aproveitar a natureza econômica dos sistemas descentralizados, baseados em eventos e efêmeros. Embora a computação sem servidor ofereça grande flexibilidade e escalabilidade, práticas de segurança específicas para computação sem servidor são necessárias; caso contrário, detectar problemas neste ambiente dinâmico baseado em eventos será desafiador.
Para uma proteção abrangente, o CrowdStrike Falcon® Cloud Security integra-se perfeitamente com os principais provedores de nuvem para proteger implementações sem servidor. Comece uma avaliação gratuita hoje mesmo e proteja suas funções sem servidor com confiança.
Karishma Asthana é Gerente Sênior de Marketing de Produtos para segurança de nuvem na CrowdStrike, sediada em Nova York. Ela é bacharel em Ciência da Computação pelo Trinity College. Com formação em engenharia de software e testes de penetração, Karishma aproveita sua formação técnica para conectar os pontos entre avanços tecnológicos e valor para o cliente. Tem mais de 5 anos de experiência em marketing de produtos nas áreas de segurança de endpoint e nuvem.
