サーバーレス クラウド セキュリティ: サーバーレス コンピューティングを保護する方法

サーバーレス クラウド セキュリティ: サーバーレス コンピューティングを保護する方法

サーバーレス コンピューティングは、クラウド コンピューティングの開発トレンドの 1 つであり、最も複雑なトレンドの 1 つでもあります。他の新しいテクノロジーと同様に、サーバーレス コンピューティングも新しい技術的リスクをもたらします。したがって、組織はサーバーレスとは​​何かを理解し、サーバーレス ワークロードを安全に実行するために必要なセキュリティ手順を理解する必要があります。

[[264156]]

サーバーレス コンピューティングを使用すると、組織が独自の物理サーバーを実行する必要がなく、クラウド コンピューティングを最も基本的なレベルで表現できます。サーバーレス コンピューティングの支持者はその純粋なサービス アプローチを称賛していますが、懐疑論者は複雑さとセキュリティの問題を指摘しています。

では、サーバーレス クラウド コンピューティングとは一体何でしょうか?そしておそらくもっと重要なのは、組織がそれを保護するためにどのように積極的な措置を講じることができるかということです。

サーバーレスコンピューティングとは何ですか?

サーバーレス コンピューティングは「サービスとしての機能」と呼ばれることもありますが、これはおそらくより説明的な用語です。サーバーレスは、一部のベンダーではイベント駆動型コンピューティングとも呼ばれます。

クラウド コンピューティングでは、組織は独自の物理サーバーを使用する必要はなく、代わりに実行中のアプリケーションを提供する仮想サーバー コンピューティング インスタンスを使用します。サーバーレス モデルでは、サービス コンポーネントがさらに一歩進んで、サーバー自体が抽象化されます。

つまり、サーバーレスの場合、他のクラウド コンピューティング サービスと同様に、長時間実行されるサーバーやコンテナーは必要なく、イベント トリガーに基づいて特定のタスクを達成するために単純な関数が実行されます。

たとえば、長時間実行される電子メール サービスを使用する代わりに、サーバーレスの電子メール機能を使用すると、電子メールの送信が必要なときにいつでも電子メール機能をトリガーできます。

サーバーレス コンピューティングは AWS Lambda サービスによって先駆的に導入され、現在では Microsoft の Azure パブリック クラウドと Google Cloud Platform (GCP) でも利用できます。プライベート クラウドおよび Kubernetes コンテナ オーケストレーション システムのデプロイメント用のサーバーレスをサポートするオープン ソース オプションも複数あります。

サーバーレスコンピューティング:長所と短所

サーバーレスコンピューティングのリスク

サーバーレス コンピューティングは、組織にサービス提供に対する異なる、より俊敏なアプローチを提供しますが、新たなリスクをもたらす可能性のある異なる展開および管理パラダイムでもあります。

組織が考慮すべきサーバーレス コンピューティングのリスクには、次のものがあります。

  • ベンダーのセキュリティ:サーバーレス関数はプロバイダーのインフラストラクチャ上で実行されますが、安全であるかどうかはわかりません。
  • マルチテナント:サーバーレス サービスの関数は、多くの場合、複数の顧客向けにコードを実行する共有インフラストラクチャ上で実行されます。機密データが関係する場合、これは問題になる可能性があります。
  • 暗号化:サーバーレス関数は、多くの場合、データベースやその他の特権リソースを呼び出すことができます。接続が暗号化されていない場合、データが漏洩する可能性があります。
  • セキュリティの誤った構成:さまざまなリソースにアクセスできるようにするために、開発者はアクセス キー、トークン、パスワードを関数に直接入力する場合があります。これらの秘密を守らないことはリスクです。
  • 関数の権限:通常、サーバーレス関数には、サーバーが取得する権限と同じ権限が付与されます。ただし、サーバーレス関数を実行するには最小限の権限が必要であり、権限を過剰に設定すると関数が潜在的なリスクにさらされる可能性があります。
  • コンポーネントの脆弱性:機能は、多くの場合、サードパーティのライブラリとコンポーネントのサプライ チェーンに依存します。コンポーネントの 1 つに既知 (または未知) の脆弱性がある場合、サーバーレス関数が悪用される可能性があります。

サーバーレスセキュリティの管理方法

サーバーレス セキュリティを管理するには、適切な制御とポリシーを導入することが重要です。クラウド コンピューティング サーバーのセキュリティ ポリシーはクラウド内の仮想コンピューティング サーバー インスタンスには効果的ですが、サーバーレス コンピューティングには、さらに高度な制御、細分性、可視性が必要です。

サーバーレス権限の削減

サーバーレス コンピューティングのリスクは、必要以上に多くの権限を持つ関数が存在することです。サーバーレス化により、デプロイされたすべての機能に対して最小権限モデルを適用することで、脅威を大幅に軽減できます。機能の開発フェーズでは、ステージング環境で自動チェックを設定して、権限の数を減らすことができます。関数の動作を分析することで、実行中の関数によって実際に使用されている権限を確認することもできます。この可視性により、管理者は必要な権限のみを有効にできるようになります。

認証の実装

同じクラウド プロバイダー内かどうかに関係なく、サービスを呼び出すすべての関数には、リスクを制限するためにアクセス制御と認証が必要です。クラウド コンピューティング プロバイダーは、管理者が従うべきサーバーレス認証を実装するためのベスト プラクティスに関するガイダンスを提供します。

クラウドプラットフォームプロバイダーコントロールの使用

クラウド コンピューティング プロバイダーには、ユーザーが潜在的な構成ミスを特定できるようにするためのさまざまな組み込みサービスもあります。たとえば、AWS Trusted Advisor は AWS Lambda を実行するためのオプションです。

ログ機能アクティビティ

サーバーレス関数はイベント駆動型でステートレスであるため、リアルタイムのアクティビティを表示すると、ほとんどのアクティビティを見逃してしまうことがよくあります。クラウド プロバイダー (またはサードパーティ) のサーバーレスのログ記録と監視を使用すると、脅威のハンティングが必要なときに監査証跡を使用できます。

監視機能層

関数は複数のレイヤーを持つことができ、さまざまなコードやサードパーティのライブラリを呼び出すことができます。機能レイヤーを監視することで、管理者はインジェクションの試みや悪意のあるアクティビティを特定できます。

サードパーティのセキュリティツールを検討する

サーバーレス プラットフォーム プロバイダーは多くの場合、何らかのセキュリティ制御を統合していますが、その範囲は限定されており、関数を実行するプラットフォームのみに焦点を当てています。サーバーレス コンピューティングの可視性と制御性をさらに高めるさまざまなサードパーティ ツールとテクノロジーが存在します。

サーバーレスコンピューティングセキュリティベンダー

サーバーレス コンピューティング セキュリティ ツールの市場は比較的新しいものですが、この分野にはすでに複数のベンダーが存在します。サーバーレス テクノロジーでは、短命でステートレスなコンテナーが使用されることが多いため、コンテナー セキュリティ ベンダーとの重複がいくつかあります (eSecurity Planet のコンテナー セキュリティ ベンダーのリストを参照)。

アクアセキュリティ

Aqua Security は、組織がサーバーレスのリスクを評価および軽減するのに役立つ、完全なコンテナおよびサーバーレス セキュリティ プラットフォームを提供します。

ヌウェバ

Nuweba はサーバーレス業界の新参者であり、大手パブリック クラウド プロバイダーのサーバーレス サービスと統合する独自の安全な Functions as a Service プラットフォームを備えて 2019 年 2 月に登場しました。

ピュアセック

PureSec サーバーレス セキュリティ プラットフォームは、サーバーレス セキュリティの課題に対応するために特別に構築されており、組織の既存の継続的インテグレーション/継続的開発 (CI/CD) ワークフローに統合できます。

プロテゴラボ

Protego Labs は、開発から展開までのライフサイクル全体にわたるセキュリティを提供することを目指して、サーバーレス セキュリティにも注力しています。

スニク

Snyk プラットフォームを使用すると、組織は機能を継続的にスキャンして、潜在的なリスクを特定できます。

ツイストロック

Twistlock のプラットフォームは、開発および展開ライフサイクル全体を通じてコン​​テナとサーバーレス機能のセキュリティを提供します。

<<:  ハイブリッド クラウドとマルチクラウド: どちらのソリューションがビジネスに適していますか?

>>:  産業インターネットの時代、華雲データは「クラウド」を活用して製造企業の変革とアップグレードを推進しています

推薦する

ビジネスを沈没させるクラウドの10の間違い

楽観主義者は「太陽はいつも雲の上にある」と言うのが好きです。彼らが言及していないのは、雲の下には強風...

運用観察: オンライン採用の「風土」は変化している

インターネットの応用と発展は、多くの人々が夢にも思わなかったことです。インターネットは、多くの人々に...

クラウドコンピューティングに関する10のよくある質問

FAQ を参考にしてクラウド コンピューティングの基礎を学び、さまざまな種類のクラウド プラットフォ...

ブランドキーワードはSEOが挽回する最後の手段となる

インターネットの普及に伴い、特定のブランド名をキーワードとして入力して、特定のブランドに関連する情報...

Baidu Newsは新たな改訂を完了したが、一部のウェブサイトのデータ更新に影響する可能性がある。

Baidu 製品の改訂速度は加速しています。たとえば、数日前、Baidu MP3 が Baidu M...

wholesaleinternetはどうですか? nocixはどうですか?国内ネットワークの実測データを共有します!

wholesaleinternet は、1999 年にカンザス州で設立された古いアメリカのブランドで...

#BlackFriday#MoonVM: 台湾 VPS、静的 + 動的 VPS、15% オフ、月額 24 ドルから、Hinet データ センター、年間を通じてこの大割引のみ

moonvm は数年前から台湾 VPS を販売しており、台湾の henet データセンターにおける台...

Pinduoduo やその他の企業はなぜこれほど急速に成長できたのでしょうか?

Pinduoduo や Toutiao などの新興モバイル インターネット企業が急速に成長しているの...

A5 Webmaster Networkのセカンドサーバーウェブサイトセキュリティトレーニングの申し込み受付を開始しました

サーバー Web サイト セキュリティ トレーニングに参加する必要があるのはなぜですか?最新の統計に...

アリババクラウドとインテルが共同で「TOP Games」クラウドエコシステム育成計画を開始し、高品質なゲームエコシステムを共同で構築

10月11日、アリババグループ主催の「2017年杭州雲棲カンファレンス」が杭州雲棲鎮で盛大に開催され...

オランダのサーバー: 著作権フリー/苦情耐性、abelohost、62 ユーロから、無制限のトラフィック、設定可能なオプション、無料の DDoS 保護

Abelohost は主にオランダのアムステルダムでオフショア VPS とオフショア専用サーバーを提...

bluevm-1g メモリ KVM 月額支払い $5.99

256M のメモリを搭載した KVM を年間 25 ドルで販売するのは魅力的ではないでしょうか?これ...

エッジコンピューティングと5Gが将来の電力網をどう形作るのか

つい最近まで、公益事業会社は顧客のメーターを月に一度、年間12回点検していました。現在、スマート メ...

#黒5# liquidweb: フルマネージド専用サーバーが34%オフ、フルマネージド VPSが37%オフ

Liquidweb がブラックフライデーのプロモーションを実施します。3 つの完全管理型 VPS (...

機能の最適化 + 適切な宣伝 + 合理的な奨励 + 積極的な統合 = フォーラムユーザーの定着率

ウェブサイトの所有者は皆、ウェブサイトが長期的な発展を遂げたい場合、その基礎は収益モデルや経営管理で...