Muitas companhias estão começando a testar e usar soluções serverless ou o que é chamado de FaaS (Functions-as-a-Services). Elas podem construir novos aplicativos e inovar em alguns dos apps antigos para conseguir a melhor performance e agilidade para seus clientes, e também permitir que eles tenham ambientes de nuvem com a melhor relação custo/eficiência. Alguns bons exemplos de companhias usando modelos FaaS atualmente são The Coca-Cola Company, Finra, iRobot, Autodesk e outras grandes corporações ao redor do mundo.
Por que tantas companhias estão migrando aplicativos para serverless? Algumas das vantagens mais significativas de funções serverless são:
• Sem servidores para fornecer ou gerenciar
• Nunca pague pelo ócio
• Escalonamento baseado em uso mais rápido
• Disponibilidade incorporada e tolerância a falhas
Esse tipo de tecnologia permite que as companhias escrevam pequenas e rápidas unidades de código associadas com execução baseada em eventos, tornando as coisas muito mais simples para equipes DevOps. Elas podem implantar novos códigos ou apps sem se preocupar com qual infraestrutura on-premise ou nuvem está em execução. As funções são executadas quando necessário, dessa forma, você não precisa executar os servidores o tempo todo enquanto os aplicativos estão parados e não sendo solicitados por nenhum usuários.
Com a quantidade crescente de soluções e capacidades neste espaço, diversas companhias estão adotando alguns pedaços pequenos do novo aplicativo para esse novo modelo, chamados aplicativos serverless. Isso remove a necessidade de gerenciar mais servidores e usa a infraestrutura como serviço apenas quando necessário. Bem legal, certo? Mas como podemos manter apps serverless seguros e prevenir possíveis problemas de segurança futuros?
As cinco maiores preocupações quando falamos de aplicativos serverless são:
• Erros de configuração
• Application Layer Protection ou Runtime Application Self Protection
• Rastreamento de dependência
• Monitoramento e registro
• Codificação segura
Erros de configuração
Há um grande número de configurações no app serverless que, se forem feitas de forma errada, podem trazer sérios problemas para sua companhia. Em breve, a maioria dos ataques a ambientes de nuvem será resultado de configurações erradas, falta de perfis de segurança customizáveis e remediação própria pelas organizações em seu dia a dia.
O Gerenciamento de Postura de Segurança na Nuvem (CSPM em inglês) é o tipo de tecnologia que é uma solução de segurança emergente para ajudar empresas a descobrir, avaliar e resolver erros de configuração de nuvem em vários provedores de nuvem e contas.
Application Layer Protection ou RASP
Nessa nova era de desenvolvimento DevOps e agile, implementar um ciclo de vida seguro de desenvolvimento de software (SSDL em inglês) é crucial para proteger seus aplicativos. Ainda assim, é essencial estender essa segurança para fornecer proteção de camada de aplicativo em tempo de execução.
Esse tipo de tecnologia pode ser usada em instâncias físicas, virtuais, de nuvem, containers, ambientes serverless. É por isso que uma solução RASP (Runtime Application Self Protection) está se tornando essencial para muitas companhias em todo o mundo. Produtos de segurança RASP integram-se a um aplicativo para evitar ataques em tempo de execução ao analisar o tráfego, payloads e comportamento do usuário final.
Isso significa que o RASP pode deter ataques com alta precisão. Ele pode distinguir entre ataques reais e pedidos legítimos por informação, o que reduz falsos positivos e permite que os engenheiros de segurança de rede passem mais tempo combatendo problemas reais e menos tempo perseguindo dead ends de segurança digital.
Rastreamento de dependência
Tenha certeza de que você pode rastrear as dependências e projetos de código aberto usados em cada função. Isso permite que você marque vulnerabilidades nas bibliotecas e as corrija o mais rápido possível e te ajuda a monitorar constantemente os serviços com livrarias vulneráveis para um melhor processo de segurança e auditoria.
Monitoramento e registro
Algumas tecnologias podem te ajudar a garantir que as funções não estão acessando serviços ilegais ou tomando os caminhos errados através do provedor de nuvem. Elas podem monitorar recursos acessados por funções serverless como conexões de database, sistemas de notificação, uso de CPU, uso da memória, alertas e data flows de funções.
Codificação segura
Com o movimento significativo das organizações para aplicações serverless, os hackers terão dificuldade em atacar a infraestrutura de provedores de nuvem, e eles mudarão automaticamente seu foco para ataques nas camadas dos apps. No último ano, temos visto muitos problemas de segurança associados com erros e problemas de segurança fundamentais nessa área.
A tecnologia serverless é fantástica e está permitindo que as companhias ao redor do mundo atinjam metas essenciais de negócios de redução de custos, reduzindo a infraestrutura gerencial, e sejam mais flexíveis para um número significativo de acessos ao aplicativo. Mas às vezes elas pensam que a segurança é totalmente responsabilidade do provedor de nuvem, e isso não é verdade. A responsabilidade de segurança é menor em comparação com uma instância regular, no entanto, o cliente ainda tem responsabilidade de segurança compartilhada para o aplicativo serverless. Por favor, lembre-se disso e tenha cuidado extra com erros de configuração e com a proteção do código dos apps.
*Fernando Cardoso é arquiteto de soluções da Trend Micro
