Serverless Security Testing: Lambda, Functions a Cloud Run – zabezpečenie bez serverov

Testovanie rolí vykonávania

Každá serverless funkcia beží s IAM rolou, ktorá definuje, ku ktorým cloudovým zdrojom má prístup. Testovanie vyhodnocuje, či roly dodržiavajú princíp najmenšieho privilégií, či funkcie zdieľajú roly (zvyšujúc rozsah dopadu) a či povolenia rolí umožňujú eskaláciu privilégií prostredníctvom reťazenia služieb.

Injekcia udalostí

Serverless funkcie sú spúšťané udalosťami—požiadavkami z API Gateway, nahrávaním do S3, správami SQS, udalosťami CloudWatch. Každý zdroj udalostí je potenciálny vektor injekcie. Testovanie vyhodnocuje validáciu vstupu na úrovni zdroja udalostí, nielen v rámci kódu funkcie.

Premenné prostredia a tajomstvá

Funkcie často ukladajú konfiguráciu a tajomstvá v premenných prostredia—viditeľných pre každého s prístupom na čítanie funkcií. Testovanie kontroluje tajomstvá uložené ako čistý text, odhalenie citlivej konfigurácie a či funkcie používajú správny systém správy tajomstiev (Secrets Manager, Parameter Store, Key Vault) namiesto premenných prostredia.

Zneužitie studeného štartu a časového limitu

Serverless funkcie majú limity času vykonávania a správanie pri studenom štarte, ktoré vytvárajú jedinečné vektory útoku typu denial-of-service a timing attack. Testovanie vyhodnocuje limity zdrojov, nastavenia súbežnosti a či správanie pri časovom limite odhaľuje čiastočný stav.

Serverless Testing s Penetrify

Serverless security testing od Penetrify pokrýva Lambda, Azure Functions a Cloud Functions s analýzou rolí vykonávania, testovaním injekcie zdroja udalostí, vyhodnocovaním správy tajomstiev a posudzovaním cesty útoku medzi službami.