2025年無伺服器安全:不容忽視的風險
Check Point 近期發布2025年網路安全趨勢預測,列舉未來一年組織將面臨的主要安全挑,隨著企業不斷擁抱新技術,AI驅動攻擊、量子威脅和雲端漏洞將重新定義數位威脅情勢,無伺服器環境利用 AWS Lambda 等服務,在可擴展性、效率和降低營運開銷方面提供了令人難以置信的優勢,然而,保護這些環境極具挑戰性,目前無伺服器安全實踐的核心通常圍繞著兩個關鍵元件:日誌監控和程式碼或系統配置的靜態分析。
日誌監控: 日誌可以追蹤面向外部的活動,但它們不提供功能內部執行的可見性。例如,如果攻擊者將惡意程式碼注入不與外部資源(例如外部 API 或資料庫)互動的無伺服器函數中,傳統的基於日誌的工具將無法偵測到這種入侵。攻擊者可能執行未經授權的程序、操縱檔案或升級權限——所有這些都不會觸發日誌事件。
系統配置的靜態分析: 靜態配置錯誤及偵測不完整,檢查錯誤配置的靜態工具非常適合檢測問題,例如過於寬鬆的 IAM 角色或向錯誤方暴露的敏感環境變數。然而,這些工具無法解釋即時發生的情況、偵測發生的漏洞或偵測與預期行為的偏差。
無伺服器環境可用的有限雲端安全性實際影響資料外洩風險增高的有以下幾點 :
1.配置錯誤: 無伺服器函數的配置錯誤可能導致敏感資料意外公開。例如,錯誤的存取控制設定或將資料儲存在不安全的儲存桶中。
2.注入攻擊: 攻擊者可利用函數的輸入參數注入惡意程式碼,進而竊取或修改資料。
3.側通道攻擊: 攻擊者可能透過分析函數的執行時間、資源消耗等側通道資訊,推斷 出敏感資料。
舉個例子來說,當攻擊者成功將惡意程式碼注入 Lambda 函數,試圖產生未經授權的子程序或建立與外部 IP 位址的連線,若只依賴日誌監控的傳統安全工具可能會錯過攻擊,而日誌通常會追蹤面向外部的事件,例如 API 呼叫或網路連接,但它們不會捕獲內部操作,例如函數本身內的程式碼執行。因此 攻擊者的操做,無論是操縱檔案、升級權限或執行未經授權的進程,都保持不可見,除非它們觸發出站 API 呼叫等外部事件,為了有效偵測和防止這種攻擊,安全團隊需要能夠即時了解功能內部操作的工具,監控運行時活動的感測器可以在惡意進程升級之前識別並終止它們,從而提供主動、即時的保護。
雲端安全正在迅速擴展,為組織提供了針對複雜雲端攻擊的增強的保護、偵測和回應措施,無伺服器環境需要同樣類型的保護,因為它們是建構在雲端上的,透過從被動的、基於日誌的安全措施轉向主動的,團隊可以開始在無伺服器環境中實施現代雲端安全實踐,也能夠進一步認識到傳統安全工具的局限性。
Sweet Security為運行 AWS Lambda 的無伺服器環境開發了一款突破性的感測器,該感測器透過提供對 Lambda 函數的深入、即時監控,解決了基於日誌的靜態分析方法固有的盲點。Sweet 的感測器監控無伺服器函數的執行時間活動,透過觀察 Lambda 環境中的系統呼叫、內部函數行為和交互,感測器可以全面了解函數在任何給定時刻的行為。
在無伺服器運算正在成為雲端原生架構支柱的時代,即時保護這些環境的能力至關重要,但傳統的靜態安全工具已不足以防範複雜的動態攻擊,透過 Sweet Security 的創新感測器,組織現在能夠主動即時監控、偵測和預防威脅,讓他們有信心採用無伺服器運算,同時保持環境安全,無伺服器安全是一個不斷演變的領域,新的威脅層出不窮。企業需要保持高度警惕,不斷更新安全策略,並與時俱進地採用新的安全技術。只有這樣,才能在日益複雜的網路環境中保持競爭力。
參考資料:
https://thehackernews.com/2024/11/the-future-of-serverless-security-in.html
https://gemini.google.com/app/d139d8685b669c44