サーバーレス アプリケーションを開発または開発していますが、それらのセキュリティについて考えたことはありますか?あなたのアプリケーションが安全かどうか知っていますか?
サーバーレス アプリケーションの人気が高まっているため、セキュリティ リスクが高まります。多くのことがうまくいかなくなり、オンラインの脅威に対して脆弱になる可能性があります。以下は、慎重に軽減する必要がある主なリスクの一部です。
- サービス拒否攻撃
- ビジネスロジックの操作
- リソースの乱用
- データインジェクション
- 安全でない認証
- 安全でないストレージ
- 脆弱なサードパーティ API/ツールの統合
サーバーレス アプリケーションには、従来のアプリケーションとは若干異なるセキュリティ アプローチが必要です。それはむしろ安全な機能です。だからこそ、包括的なセキュリティ保護のための専用プラットフォームが必要なのです。また、別の種類の監視とデバッグも必要です。
PureSec のこのガイド を参照することをお勧めします。このガイドでは、サーバーレス アプリケーションの 12 の最も重大なリスクについて説明しています。
次の解決策を検討してみましょう。
/filters:no_upscale()/articles/serverless-security/en/resources/3picture1-1519232102195.png)
ピュアセック
PureSec は 、AWS Lambda、Google Cloud Functions、IBM Cloud Functions、Azure Functions にエンドツーエンドのセキュリティを提供します。いくつかの人気のあるプラットフォームやツールとうまく統合できます。
- Gitlab
- スプランク
- 頂点
- ジェンキンス
- AWS クラウドフォーメーション
- サーバーレスフレームワーク
PureSec のサーバーレス アプリケーション ファイアウォールは、パフォーマンスに影響を与えることなく、機能イベント データ層での攻撃を検出して防止します。検出エンジンは、NoSQL DB、API、Cloud Storage、Pub/Sub メッセージングなどのイベント トリガー タイプを検査できます。
FunctionShield セキュリティ ライブラリを使用すると、開発者はセキュリティ メカニズムを強制して、一般的な使用例のいくつかに対処できます。これらは Node.js、Python、Java で使用できます。
FunctionShield を使用する利点は次のとおりです。
- 機能からのアウトバウンドネットワークトラフィックを監視することでデータ漏洩を防止
- ハンドラーのソースコード漏洩を防ぐ
- 子プロセスの実行制御
- セキュリティ イベントをログに記録するように アラート モードで構成するか、ポリシー違反時に実行を停止するように ブロックするか を選択します。
全体の実行に追加される遅延は 1 ミリ秒未満です。

スニック
Snyk は 、アプリケーションの依存関係で見つかった脆弱性を監視、発見、修正するための人気のあるオープンソース ソリューションの 1 つです。最近、AWS Lambda および Azure Functions との統合が導入され、デプロイされたアプリケーションに接続して脆弱性があるかどうかを確認できるようになりました。
脆弱性が見つかった場合は、電子メールまたは Slack で通知を受け取るように設定できます。
テストの頻度を定義するかどうかを選択できます。

アクア
Aqua は 、安全なサーバーレス コンテナーと機能の 2 つを 1 つにまとめたサービスを提供します。
コンテナーのイメージと関数をスキャンして、ライブラリー、構成、および権限における既知および未知の脆弱性を検出します。 Aqua は CI/CD パイプラインに統合できます。

ツイストロック
Twistlock を使用して、ライフサイクルのあらゆる段階でアプリケーションを保護します。
アカウント内のすべての機能をリアルタイムでスキャンして保護し、アプリケーションの脆弱性を防ぎます。機能の一部は次のとおりです。
- Python、.Net、Java、Node.js をサポート
- 継続的な脅威の監視と防止のためのクラウドネイティブ ファイアウォール
- HIPPA および PCI 準拠のテンプレート
- TeamCity、Jenkins との統合
- 脆弱性管理
Twistlock は機械学習を活用して、自動化されたランタイム保護とポリシー作成を実現します。
結論
サーバーレスであろうと従来型であろうと、アプリケーションの保護は不可欠です。幸いなことに、無料トライアルが提供されているので、自分のアプリケーションに何が機能するかを実際に試してみてください。あなたが初心者で、実践的な AWS Lambda とサーバーレス フレームワークに興味がある場合は、この素晴らしい オンライン コース をチェックしてください。
