🌥️
【良記事感想】サーバーレスクラウドセキュリティについて
Yossi Ittach氏のmedium記事が良かったのでご紹介。主旨としてはAWS Lambda等のサーバレス環境でどのようなセキュリティが必要かについてです。
記事元
「Serverless Security 101: How to think about serverless cloud security?」
(goole翻訳:サーバーレス セキュリティ 101: サーバーレスクラウドセキュリティについてどう考えるか?)
ポイント
-
認証と認可
- サーバーレスの場合、各リソース(Lambda、ECSタスク、APIゲートウェイ等)は、その機能を完了するために必要な特定のリソースにのみアクセスし、トリガーできる必要がある
-
データのセキュリティと整合性
- すべての接続を暗号化する必要がある
- Lambdaの/tmpフォルダが見過ごされがちなので注意。同時アクセスがあった場合同じ/tmpフォルダの閲覧からデータ漏えいに繋がるリスクあり。
- (tmpが罠というのはなるほどと思いました)
-
モニタリングとロギング
- 問題内容と誰がアクセスしたかを知るためちゃんとログを取ること
- ロギング用のサービスは多数ある (DataDog、Logz.io、AWS CloudWatch など)。
-
ブルートフォース攻撃
- 暗号化やログ監視してもDDos攻撃リスクがまだ残っている
- 主要なクラウドプロバイダーは基本的なDDoS保護機能を提供しているので活用しよう
まとめ
私自身それほどサーバレスに詳しくはありませんが、開発環境構築の省力やテクニカルプロトタイプの仮組み等、サーバレスクラウドを活用はますます盛んになって行きそうです。
今月8月初旬にAWS Lambdaが毎月の使用量に基づいて20%くらい節約できる値下げ(?)を行ったりと、クラウドベンダー内でもテコ入れされていく気配もあります。
活用と同時にセキュリティ周りも整備して行けると良いですね。
AWS記事 > 「AWS Lambda が段階的な価格設定を発表」
Discussion