המדריך של PureSec: 12 הסיכונים הקריטיים לסביבת Serverless, לפיתוח אפליקציות בטוחות,

PureSec Team

PureSec, מובילה עולמית באבטחת אפליקציות Serverless ו- Cloud Security Alliance (CSA), הארגון המוביל בעולם להגברת המודעות וליצירת נהלים לאבטחת סביבות מחשוב מבוססות ענן, מפרסמות היום יחדיו, מסמך הנחיות הסוקר את 12 הסיכונים הקריטיים לסביבת Serverless, לפיתוח אפליקציות בטוחות, ודרכי התמודדות עימם.

מטרת המסמך להגביר מודעות בקרב מפתחים ולספק כלים והנחיות לפיתוח והטמעה של אפליקציות Serverless (Function-as-a-Service), כולל תיאור מפורט של כל השיקולים וההמלצות הנוגעים לזיהוי ולניהול הסיכונים, ותוך שימת דגש על כל פלטפורמות ה- Serverless הגדולות והמוכרות בתחום הענן הציבורי, כמו AWS Lambda, Azure Functions ו- Google Cloud Functions.

מסמך ההנחיות הנוכחי נולד כתוצאה משיתוף פעולה פורה בין PureSec, CSA וכמה עשרות מובילי דעה בתעשיית ה- Serverless העולמית, אשר שמחו לקחת חלק בפרויקט ולשתף ידע. זו השנה השנייה ברציפות בה PureSec שוקדת על הכנת מסמך גלובלי, מקיף ומעודכן במטרה לסווג ולמיין סיכונים פוטנציאלים לאפליקציות Serverless. המסמך מיועד לאנשי פיתוח ואנשי אבטחת מידע וסייבר, גם יחד, המתמקדים בעולמות ה- Serverless, ומציע להם כלים ודרכי התמודדות עם האיומים, כולל השוואה בין אפליקציות מסורתית למקבילות שלהן בעולמות ה- Serverless.

"כחברה המובילה את שוק האבטחה ל- Serverless, ארגונים רבים פונים ל- PureSec לקבל הנחיות ותמיכה בבניה ופיתוח של אפליקציות Serverless מאובטחות. ברגע שזיהינו את PureSec כמי שיכולה לשתף עם התעשייה תובנות יוצאות מן הכלל בנושא, שמחנו להזמינה להצטרף לקהילה שלנו" אמר ג'יי. אר. סנטוס, סמנכ"ל בכיר למחקר, CSA.

מומחים בתעשייה מעריכים כי האימוץ של טכנולוגיות Serverless מכפיל את עצמו פי 7, מדי שנה. הערכה זו תומכת בצורך של השוק במסמך הנחיות כמו זה ש- PureSec ו- CSA מפרסמות היום. "ארכיטקטורת ה- Serverless זכתה לצמיחה דרמטית ב- 2018 וארגונים רבים נמצאים כעת בשלבי אימוץ ראשונים שלה. על רקע זה, הבנו כי זו השעה הנכונה לחבור ל- CSA , לערוך ולהפיץ יחד את המסמך המקיף והמעודכן ביותר הקיים היום בשוק" אומר אורי סגל, סמנכ"ל טכנולוגיות ומייסד-שותף, PureSec.

PureSec שמה לה למטרה להגביר את המודעות בקרב מפתחי Serverless ומומחי אבטחת מידע וסייבר וללמד אותם כיצד למזער סיכוני אבטחה. "מטרה זו באה לידי ביטוי גם בפתרון שלנו, המזהה חולשות פוטנציאליות, כבר בשלב כתיבת הקוד, ומפנה את המפתחים לאמץ נהלי עבודה שיבטיחו תהליכי פיתוח בטוחים ב- Serverless. כפתרון הוליסטי הוא אף מגן על אפליקציות מפני תקיפות סייבר בזמן אמת."

אחד הסיכונים הרווחים מפניהם מזהיר מסמך ההנחיות נובע מתהליך שגוי של הטמעת הרשאות. "מפתחים רבים לא מכירים את מודל ההרשאות של סביבות הענן לעומק, ולכן, נוטים להטמיע הרשאות-יתר בפונקציות Serverless" מסביר סגל. "במצב כזה, תוקף עלול לנצל את הרשאות-היתר שניתנו ולבצע פעולות זדוניות ובלתי חוקיות." איום נוסף, שנכנס לראשונה למסמך החדש, נוגע לתרחישים בהם מפתחים מאחסנים מידע רגיש בסביבת הריצה המקומית של Serverless, הן כקבצים שמורים בדיסק זמני, והן בזיכרון. מאחר וספק הענן משמר את סביבת הריצה של הפונקציה לטובת ייעול ריצות עתידיות של אותה הפונקציה, מידע רגיש שנשאר מאחור עלול לזלוג ולהגיע לידיים הלא נכונות. "לכן, אנחנו ממליצים למפתחי Serverless לאחסן מידע רגיש מחוץ לסביבת הריצה, או לוודא כי השאירו סביבה נקייה לחלוטין בתום השימוש."

למסמך ההנחיות המלא הקליקו כאן.

החברה מגייסת עובדים למגוון תפקידים, ניתן להגיש מועמדות בלינק המצורף.

The Top 12 Risks listed in the document are:
Function event-data injection
Broken authentication
Insecure serverless deployment configuration
Over-privileged function permissions and roles
Inadequate function monitoring and logging
Insecure third-party dependencies
Insecure application secrets storage
Denial of service and financial resource exhaustion
Serverless business logic manipulation
Improper exception handling and verbose error messages
Legacy / Unused functions & cloud resources
Cross-execution data persistency

אודות PureSec
PureSec, מובילה גלובלית וממציאת קטגורית האבטחה לשוק ה- Serverless, נוסדה ב- 2016, ע"י שקד צין, אורי סגל ואבי שולמן. החברה מאפשרת ללקוחותיה לפתח ולתחזק אפליקציות Serverless אמינות ומאובטחות בסביבת מיחשוב בטוחה.

PureSec תומכת בכל ספקי ה- Serverless, כולל AWS Lambda, Google Cloud Functions, Azure Functions ו- IBM Cloud Functions ומאפשר לארגונים לנטר, למנוע ולהגיב לפעילויות חשודות ולתקיפות.

הפתרון המקיף של PureSec הוא חלוץ תעשיית ה- Serverless והמקיף ביותר הקיים היום בשוק להגנה על ארכיטקטורת Serverless. בין לקוחות החברה חברות מקרב ה- Fortune 1000, לצד סטארטאפים צומחים בארה"ב וברחבי העולם. לאתר החברה: www.puresec.io