Connect with us

אבטחת מידע ארגונית

PureSec הצטרפה ל- Cloud Security Alliance

פורסם

ב-

PureSec ו-   Cloud Security Alliance  (CSA), ארגון  לגיבוש נהלים לאבטחת סביבות מחשוב בענן, מפרסמות היום יחדיו, מסמך הנחיות החושף את 12 הסיכונים הקריטיים לפיתוח בטוח של אפליקציות בסביבת Serverless ודרכי התמודדות עם סיכונים אלה.

המסמך מיועד לאנשי פיתוח ואנשי אבטחת מידע וסייבר ומטרתולהגביר מודעות בקרב מפתחים ולספק כלים, הנחיות ודרכי התמודדות לפיתוח והטמעה של אפליקציות  Serverless (Function-as-a-Service), כולל השוואה בין אפליקציות מסורתית למקבילות שלהן בעולמות ה- Serverless. המסמך ישים לכל  פלטפורמות ה- Serverless הגדולות בתחום הענן הציבורי, כמו AWS Lambda, Azure Functions ו- Google Cloud Functions.

מסמך ההנחיות הנוכחי נולד כתוצאה משיתוף פעולה חדש בין PureSec,  CSA וכמה עשרות מובילי דעה בתעשיית ה- Serverless העולמית, אשר שמחו לקחת חלק בפרויקט ולשתף ידע. המסמך הראשון שהכינה PureSec בשנה שעברה, היה מסמך חלוצי בתחום זה והמקיף ביותר שנכתב עד כה, והגירסה של 2019 משופרת אף יותר

"כחברה המובילה את שוק האבטחה ל- Serverless, ארגונים רבים פונים ל- PureSec לקבל הנחיות ותמיכה בבניה ופיתוח של אפליקציות Serverless מאובטחות. ברגע שזיהינו את   PureSec כמי שיכולה לשתף עם התעשייה תובנות יוצאות מן הכלל בנושא, שמחנו להזמינה להצטרף לקהילה שלנו" אמר ג'יי. אר. סנטוס, סמנכ"ל בכיר למחקר, CSA.

מומחים בתעשייה מעריכים כי האימוץ של טכנולוגיות Serverless מכפיל את עצמו פי 7, מדי שנה. הערכה זו  תומכת בצורך של השוק במסמך הנחיות כמו זה ש- PureSec ו- CSA מפרסמות היום.  "ארכיטקטורת ה- Serverless זכתה לצמיחה דרמטית ב- 2018 וארגונים רבים נמצאים כעת בשלבי אימוץ ראשונים שלה. על רקע זה, הבנו כי זו השעה הנכונה לחבור ל- CSA , לערוך ולהפיץ יחד את המסמך המקיף והמעודכן ביותר הקיים היום בשוק" אומר אורי סגל, סמנכ"ל טכנולוגיות ומייסד-שותף, PureSec.

Advertisement

"השאיפה למזער סיכוני אבטחה בעולם ה- Serverless  באה לידי ביטוי גם בפתרון שלנו, המזהה חולשות פוטנציאליות, כבר בשלב כתיבת הקוד, ומפנה את המפתחים לאמץ נהלי עבודה שיבטיחו תהליכי פיתוח בטוחים ב- Serverless. כפתרון הוליסטי הוא אף מגן על אפליקציות מפני תקיפות סייבר בזמן אמת."

אחד הסיכונים הרווחים מפניהם מזהיר מסמך ההנחיות נובע מתהליך שגוי של הטמעת הרשאות. "מפתחים רבים לא מכירים את מודל ההרשאות של סביבות הענן לעומק, ולכן, נוטים להטמיע הרשאות-יתר בפונקציות Serverless" מסביר סגל. "במצב כזה, תוקף עלול לנצל את הרשאות-היתר שניתנו ולבצע פעולות זדוניות ובלתי חוקיות." איום נוסף, שנכנס לראשונה למסמך החדש,  נוגע לתרחישים בהם מפתחים מאחסנים מידע רגיש בסביבת הריצה המקומית של Serverless, הן כקבצים שמורים בדיסק זמני, והן בזיכרון. מאחר וספק הענן משמר את סביבת הריצה של הפונקציה לטובת ייעול ריצות עתידיות של אותה הפונקציה, מידע רגיש שנשאר מאחור עלול לזלוג ולהגיע לידיים הלא נכונות. "לכן, אנחנו ממליצים למפתחי Serverless לאחסן מידע רגיש מחוץ לסביבת הריצה, או לוודא כי השאירו סביבה נקייה לחלוטין בתום השימוש."

Continue Reading