Pruebas de Seguridad Serverless: Lambda, Functions y Cloud Run

Pruebas de Roles de Ejecución

Cada función serverless se ejecuta con un rol IAM que define a qué recursos de la nube puede acceder. Las pruebas evalúan si los roles siguen el principio de mínimo privilegio, si las funciones comparten roles (amplificando el radio de explosión) y si los permisos del rol permiten la escalada de privilegios a través del encadenamiento de servicios.

Inyección de Fuentes de Eventos

Las funciones serverless se activan mediante eventos: solicitudes de API Gateway, cargas de S3, mensajes de SQS, eventos de CloudWatch. Cada fuente de eventos es un vector de inyección potencial. Las pruebas evalúan la validación de entrada a nivel de la fuente de eventos, no solo dentro del código de la función.

Variables de Entorno y Secretos

Las funciones almacenan frecuentemente la configuración y los secretos en variables de entorno, visibles para cualquiera con acceso de lectura a la función. Las pruebas comprueban la existencia de secretos en texto plano, la exposición de configuraciones sensibles y si las funciones utilizan una gestión de secretos adecuada (Secrets Manager, Parameter Store, Key Vault) en lugar de variables de entorno.

Abuso de Arranque en Frío y Timeout

Las funciones serverless tienen límites de tiempo de ejecución y comportamientos de arranque en frío que crean vectores únicos de denegación de servicio y ataques de tiempo. Las pruebas evalúan los límites de recursos, la configuración de concurrencia y si los comportamientos de timeout exponen un estado parcial.

Pruebas Serverless con Penetrify

Las pruebas de seguridad serverless de Penetrify cubren Lambda, Azure Functions y Cloud Functions con análisis de roles de ejecución, pruebas de inyección de fuentes de eventos, evaluación de la gestión de secretos y evaluación de la ruta de ataque entre servicios.