無(wú)服務(wù)器架構(gòu)面臨的10大安全威脅

無(wú)服務(wù)器架構(gòu)（也稱(chēng)為功能即服務(wù)FaaS）在企業(yè)中用于構(gòu)建和部署軟件和服務(wù)，不需要內(nèi)部物理或虛擬服務(wù)器。這種架構(gòu)倍受青睞，因?yàn)樗旧砭哂械目蓴U(kuò)展性，和與AWS Lambda、Azure Functions、Google Cloud FuncTIons和IBM BlueMix Cloud FuncTIons等云服務(wù)的兼容性。

然而，正如PureSec的一份新報(bào)告所指出的，這種架構(gòu)對(duì)于傳統(tǒng)基于服務(wù)器系統(tǒng)所面臨的那些安全問(wèn)題和挑戰(zhàn)也并不具有免疫力。周三，無(wú)服務(wù)器架構(gòu)安全公司PureSec發(fā)布了一份新的報(bào)告，詳細(xì)介紹了當(dāng)今這些系統(tǒng)面臨的最常見(jiàn)的安全問(wèn)題和挑戰(zhàn)。這份題為“無(wú)服務(wù)器體系結(jié)構(gòu)中十大關(guān)鍵安全風(fēng)險(xiǎn)”的報(bào)告表明，以下10個(gè)問(wèn)題正在引發(fā)當(dāng)今的安全挑戰(zhàn)：

1、功能事件數(shù)據(jù)植入：應(yīng)用中植入的漏洞是最常見(jiàn)的風(fēng)險(xiǎn)之一，不僅可以通過(guò)不可信的輸入（如通過(guò)Web API調(diào)用）觸發(fā)，也可由于無(wú)服務(wù)器體系結(jié)構(gòu)的潛在攻擊面引起，也可能是來(lái)自于云存儲(chǔ)事件、NoSQL數(shù)據(jù)庫(kù)、代碼更改、消息隊(duì)列事件和物聯(lián)網(wǎng)遙測(cè)信號(hào)等等。

“這些豐富的事件源增加了潛在的攻擊面，并在嘗試保護(hù)無(wú)服務(wù)器功能以防止事件數(shù)據(jù)注入時(shí)引入了復(fù)雜性，特別是因?yàn)闊o(wú)服務(wù)器體系結(jié)構(gòu)幾乎不像Web環(huán)境那樣，開(kāi)發(fā)人員知道哪部分消息不應(yīng)該被理解被信任（GET / POST參數(shù)、HTTP標(biāo)頭等），”報(bào)告稱(chēng)。

2、認(rèn)證失效：為無(wú)服務(wù)器體系結(jié)構(gòu)構(gòu)建的應(yīng)用通常包含數(shù)十個(gè)甚至數(shù)百個(gè)無(wú)服務(wù)器功能，每個(gè)都有特定的用途。這些功能連接在一起形成整個(gè)系統(tǒng)邏輯，但其中一些功能可能公開(kāi)Web API，其他函數(shù)可能會(huì)消耗來(lái)自不同源類(lèi)型的事件，還有一些功能具有可能被攻擊的編碼問(wèn)題，從而導(dǎo)致未經(jīng)授權(quán)的認(rèn)證。

3、不安全的無(wú)服務(wù)器部署配置：PureSec發(fā)現(xiàn)，錯(cuò)誤的設(shè)置和云服務(wù)的誤配置是一個(gè)常見(jiàn)的主題。這反過(guò)來(lái)又可能成為無(wú)服務(wù)器體系結(jié)構(gòu)的攻擊入口，泄露敏感的、機(jī)密的信息的泄漏，以及為潛在的中間人攻擊（MiTM）提供入口點(diǎn)。

4、超權(quán)限的功能許可和角色：無(wú)服務(wù)器應(yīng)用以及整個(gè)企業(yè)系統(tǒng)都應(yīng)該遵循“最小權(quán)限”的原則。如果用戶得到了超出他們?nèi)粘９ぷ魉璧脑L問(wèn)權(quán)限，那么攻擊者是否會(huì)攻擊他們的賬戶？他們得到了入侵的許可，而這原本是可以避免的——對(duì)應(yīng)用也是如此。但是，PureSec發(fā)現(xiàn)這種原則并沒(méi)有被遵循。無(wú)服務(wù)器功能應(yīng)該只有所需的權(quán)限，但因?yàn)樵O(shè)置這些權(quán)限可能是面向幾十種功能的，所以這方面往往被忽略，并成為一個(gè)安全弱點(diǎn)。

5、監(jiān)控和日志功能不足：在偵察攻擊的階段，威脅實(shí)施者試圖擊破網(wǎng)絡(luò)防御和弱點(diǎn)，這對(duì)網(wǎng)絡(luò)安全解決方案檢測(cè)可疑行為并關(guān)閉該行為也是一個(gè)關(guān)鍵點(diǎn)。由于無(wú)服務(wù)器架構(gòu)是駐留在云環(huán)境中的，所以“本地”實(shí)時(shí)網(wǎng)絡(luò)安全解決方案是多余的，這意味著可能會(huì)錯(cuò)過(guò)發(fā)現(xiàn)早期的攻擊跡象。雖然無(wú)服務(wù)器系統(tǒng)通常提供了日志記錄功能，但可能不適合安全監(jiān)視或?qū)徲?jì)的目的。

6、不安全的第三方依賴關(guān)系：當(dāng)無(wú)服務(wù)器功能依賴于第三方軟件（如開(kāi)源軟件包和庫(kù)）時(shí)，如果存在漏洞，也可能為被入侵開(kāi)辟道路。

7、不安全的應(yīng)用秘密存儲(chǔ)：許多應(yīng)用程序需要加密和存儲(chǔ)“秘密”信息，例如API密鑰、密碼、配置設(shè)置和數(shù)據(jù)庫(kù)憑證。但是，PureSec檢測(cè)到的一個(gè)反復(fù)出現(xiàn)的錯(cuò)誤，是將這些信息存儲(chǔ)在純文本配置文件中的常見(jiàn)做法，任何入侵者都可以隨意利用。

8、DDoS攻擊，資源達(dá)到極限：根據(jù)研究，分布式拒絕服務(wù)（DDoS）攻擊對(duì)無(wú)服務(wù)器架構(gòu)構(gòu)成嚴(yán)重風(fēng)險(xiǎn)，因?yàn)榭赡艽嬖趦?nèi)存分配、每個(gè)功能的持續(xù)時(shí)間和執(zhí)行限制。默認(rèn)限制和糟糕的配置可能導(dǎo)致DDoS攻擊取得成功和延遲爭(zhēng)奪問(wèn)題。

9、無(wú)服務(wù)器功能執(zhí)行流操作：攻擊者可能通過(guò)篡改應(yīng)用流來(lái)破壞應(yīng)用邏輯，導(dǎo)致繞過(guò)訪問(wèn)控制、特權(quán)升級(jí)或拒絕服務(wù)攻擊。

10、不正確的異常處理和冗長(zhǎng)的錯(cuò)誤消息：無(wú)服務(wù)器架構(gòu)的逐行調(diào)試服務(wù)通常相當(dāng)有限。因此，一些開(kāi)發(fā)人員會(huì)用冗長(zhǎng)的錯(cuò)誤消息，在事實(shí)發(fā)生之后啟用調(diào)試，并且在移到生產(chǎn)環(huán)境時(shí)可能會(huì)忘記清除代碼。當(dāng)暴露給最終用戶時(shí)，這些消息可能會(huì)揭示有關(guān)無(wú)服務(wù)器功能和所用邏輯的信息，以及系統(tǒng)和機(jī)密數(shù)據(jù)中的弱點(diǎn)。

PureSec公司首席技術(shù)官兼共同創(chuàng)始人Ory Segal表示：“無(wú)服務(wù)器架構(gòu)在過(guò)去幾年里飛速增長(zhǎng)，年增長(zhǎng)率超過(guò)700％。我們的研究表明，與無(wú)服務(wù)器相關(guān)的軟件下載體驗(yàn)呈指數(shù)級(jí)增長(zhǎng)，但同時(shí)，與傳統(tǒng)應(yīng)用相比，無(wú)服務(wù)器的安全知識(shí)存在巨大空白?！?/p>