Разработка приложений является одной из областей промышленности, которая стремительно растет. По мере того, как оно растет, развиваются различные угрозы безопасности, которые подвергают их постоянному риску. Безсерверные приложения набирает все большую популярность. Это так, главным образом из-за того, что его принятие легче и выгоды видны с учетом всех перспектив. Разработчик, бизнес-лидеры и пользователь получают выгоду. Тем не менее, ваше усыновление безопасно? Да, это так, пока соответствующие практики приняты.
Одним из таких методов является принятие инструментов, облегчающих управление безсерверными приложениями. Хотя одного приобретения и внедрения недостаточно. Надо иметь больше контроля над ними и инструменты с открытым исходным кодом предоставьте нам такую возможность, и также важно не пренебрегать аспектом безопасности.
Как и в любой ситуации, любая угроза безопасности, обнаруженная во времени, может контролироваться и исправляться. Таким образом, потенциальные осложнения будут предотвращены в процессе принятия приложения или приложений, предлагаемых определенной организацией. Automating Связанные с безопасностью операции со специализированными инструментами - это большое преимущество. Как для безопасности самих приложений, так и для этапов их обслуживания.
Что такое безсерверный?
Это, наверное, первый раз, когда вы читаете об этом. В любом случае, хорошо иметь определение Безсерверная архитектура обсуждаемый. Безсерверная модель - это модель выполнения облачных вычислений, поставщик облачных услуг отвечает за динамическое администрирование хостинга и предоставление серверов своим клиентам.
Следовательно, приложение, разработанное в рамках серверной архитектуры, работает в без гражданства вычислять контейнеры . Эти контейнеры запускаются событиями, эти события запускаются серией настраиваемых параметров. Последний, на английском языке, просто известен как триггеры событий .
Кроме того, контейнеры, в которых размещаются серверные приложения, являются эфемерными, что означает, что они могут быть активными в течение короткого времени, если вы «вызовите» их один раз. Они полностью управляются поставщиком облачных услуг.
Не небезопасно предполагать, что основным преимуществом, которое вызывает другие, является стоимость. Это значительно сокращено по сравнению с традиционными архитектурами приложений. Любой, кто знает о поддержке приложений и их традиционной инфраструктуре, прекрасно знает, насколько это трудоемко и дорого. Обширные и изнурительные рабочие часы для специализированного персонала - только один из недостатков.
Безсерверные приложения полагаются на выполнение для расчета окончательной стоимости, что означает, что вы платите за количество выполнений. Цена за миллисекунду зависит от объема памяти, который вам нужен. Проще говоря, вы платите только за необходимое вычисление, а не за сумму, которая вам, скорее всего, не понадобится. Одним из ведущих поставщиков является Amazon, через свое подразделение Amazon Web Services его предложение называется AWS Lambda и вы можете посмотреть, если вы заинтересованы в запуске в безсерверном мире.
Рекомендации по обеспечению безопасности безсерверных приложений
Выше мы отметили, что контейнеры, в которых размещаются приложения такого типа, на 100% управляются выбранным вами поставщиком услуг, таким как AWS Lambda, о котором мы также упоминали. Тот факт, что контроль за вычислениями, необходимыми для поддержания работы серверных приложений, больше не выполняется организацией, ответственной за их разработку, вызывает еще одну проблему: больше полагаться на третьи стороны для управления чувствительными аспектами приложения и его инфраструктуры. ,
Поэтому у нас должны быть инструменты, которые могут помочь нам минимизировать риск появления и / или проникновения существующих угроз безопасности, чтобы впоследствии устранить их. Далее мы расскажем о трех инструментах, которые, несомненно, будут способствовать безопасности и улучшению безсерверных приложений.
Докер-лямбда
Это экосистема «песочницы», которая копирует все конфигурации и функции функции Lambda, предлагаемой Amazon Web Services. Эта копия более чем на 90% идентична. Теперь, что это включает?
- Библиотеки и API.
- Имена пользователей и их разрешения
- Контексты различных вызовов лямбда-функций
Непосредственное преимущество применения этого инструмента заключается в том, что вы сможете эмулировать все, что Amazon Web Services делает для вас, в отношении инфраструктуры вашего серверного приложения. Гораздо безопаснее проводить тесты на усиление безопасности или даже некоторые тесты на тестирование в изолированной среде, чем тот, который является официальным для пользователя. Мы не должны забывать, что все это имеет своей конечной целью хороший и, прежде всего, безопасный пользовательский опыт. Посмотрите, что предлагает Docker-Lambda, по следующему адресу: GitHub ссылке .
Примечание: Экосистема песочницы - это тестовая среда, которая изолирует любые изменения кода, которые не были протестированы в производственной среде приложения. Другими словами, официальное приложение и продуктивная среда, в которой оно работает, не подвержены изменениям, которые вы хотите попробовать.
Protego
Кокаин проходит веб-приложение в нем проверяются различные аспекты безопасности, которые необходимо учитывать на протяжении всего цикла разработки приложения. От разработки, развертывания до исполнения. Protego предлагает поддержку для Amazon Web Services , Google облако Платформа и Microsoft Лазурный , которые являются двумя другими очень популярными поставщиками услуг без сервера.
С другой стороны, он поддерживает функции, которые были разработаны с языками программирования и средами, такими как Java, Python и Node.js. Одно из его отличий заключается в использовании модели «наименьших привилегий» или модели наименьших привилегий, которая предоставляет только необходимые разрешения для каждой функции, представленной в вашем приложении. заявка политики безопасности не следует пренебрегать на уровне без сервера. Это веб-приложение позволяет вам создавать и настраивать индивидуально все политики безопасности, чтобы вы могли протестировать все созданные вами политики безопасности.
Также возможно получить прогнозы потенциальных угроз безопасности и любого типа сбоя приложения, даже до того, как развернуть приложение в рабочей среде, то есть подготовить его для пользователя. Это потому что они постоянно обновляются список уязвимостей , основанный на различных ресурсах и алгоритмах. Вся полученная информация может быть преобразована в отчет посредством интеграции с различными внешними инструментами. Вы можете получить доступ к Protego здесь .
Снык
С помощью этого инструмента можно автоматизировать как процессы обслуживания, так и процессы, связанные с безопасностью самого приложения. Обнаружение уязвимостей в зависимостях приложений, чтобы вы могли контролировать их и, таким образом, избежать будущих неудобств. Он постоянно контролирует приложение и выполняет полную проверку угроз безопасности.
Сконфигурируйте и настройте Snyk в соответствии с вашими потребностями. Например, вы можете выбрать, как часто будут проводиться тесты, обзоры и т. Д. Его можно настроить так, чтобы вам не приходилось часто обращаться к самому инструменту. Будь то через Slack или e-mail уведомления, вся необходимая информация о вашем бессерверном приложении будет в твоих руках и самое главное, вовремя.
Он совместим с различными поставщиками облачных услуг, включая Amazon Web Services и Microsoft Azure. Вы можете получить доступ к этому инструменту через этот ссылке .
Другие аспекты безопасности, которыми мы не должны пренебрегать
Выше мы обсуждали тот факт, что безсерверные приложения прорабатывать события , Такие события могут включать команды шлюза API, события облачного хранилища, изменения в базах данных, наборы данных, телеметрию Интернета вещей, электронную почту и многое другое. Киберпреступник извлекает выгоду из того факта, что каждое из этих событий увеличивает его шансы на атаку. Следовательно, устранение вредоносных действий, таких как инъекции данных и / или события, становится более трудным. Следует использовать не только традиционные ориентированные на веб-приложения межсетевые экраны, но и решения для обеспечения безопасности, которые отслеживают приложения во время выполнения.
Как насчет данных? Давайте не будем забывать, что это является наиболее ценным активом в технологическая область, и давайте не будем говорить о приложениях. Обнародование конфиденциальных данных всегда было проблемой, особенно со стороны пользователей, которые используют их каждый день в бесконечных целях. Многие из практик, реализованных в традиционных приложениях, совместимы с теми, которые не содержат сервера.
Однако давайте не будем пренебрегать тем фактом, что киберпреступник может взглянуть на другие источники данных для достижения своих вредоносных целей. Вы можете получить доступ к различным контрактным облачным службам хранения и таблицам базы данных. Они могут легко обойтись без серверов.
Несмотря на то, что архитектура безсерверных приложений еще не находится на самой зрелой стадии, ее внедрение растет в геометрической прогрессии. Следовательно, безопасность должна стать приоритетом не только для разработчиков или менеджеров технологий. Точно так же, профессионалов в области информации Безопасность и кибербезопасность обязаны усваивать в этом отношении, особенно перед лицом многочисленных настоящих и будущих угроз.
