A Trend Micro alerta que os serviços sem servidor (serverless) em nuvem não estão acima dos riscos e ameaças. A companhia elaborou o relatório Securing Weak Points in Serverless Architectures: Risks and Recommendations que fornece uma discussão abrangente sobre os possíveis cenários de comprometimento e ataque envolvendo serviços sem servidor. O documento ressalta que existem maneiras de manter os serviços sem servidor e as implantações seguras.
A computação sem servidor refere-se à tecnologia que oferece suporte a serviços de back-end e permite que as empresas aproveitem a transferência de certas responsabilidades para os Provedores de Serviços em Nuvem (CSPs), como a Amazon Web Services (AWS), incluindo gerenciamento de capacidade, patching e disponibilidade. Com a computação sem servidor, as empresas podem criar aplicativos back-end sem estar diretamente envolvidas na disponibilidade e escalabilidade. O termo “sem servidor”, no entanto, não significa que este modelo de computação não utiliza servidores físicos. O diferencial é que as empresas não precisam mais estar diretamente envolvidas na manutenção e proteção dessas estruturas.
O relatório elaborado por Alfredo de Oliveira, pesquisador sênior de Ameaças da Trend Micro, aponta que como os serviços sem servidor têm funções sem estado, os dados nesses serviços permanecem em cache e não são armazenados na memória. Ao mover dados de serviços sem servidor para locais externos, as empresas devem estar cientes de como os dados são transferidos para evitar vazamento.
A segurança de arquiteturas sem servidor é garantida em sua maior parte pelos CSPs, que lidam com a segurança dos componentes de computação de infraestrutura da tecnologia sem servidor. É por isso, de acordo com o estudo, que a tecnologia sem servidor é considerada relativamente mais segura do que outros modelos de computação em nuvem. Mas, como qualquer outra tecnologia existente, não é imune a riscos e ameaças, ressalta a Trend Micro.
Os principais provedores, como a AWS, usam a política de privilégios mínimos ao conceder permissões para tarefas específicas. Eles também aplicam a abordagem de negação padrão, que garante que cada serviço não possa se comunicar ou não seja acessível a outro, a menos que as permissões necessárias sejam concedidas. A Trend Micro alerta, entretanto, que a atribuição e verificação manual de privilégios aumenta a segurança, mas pode ser difícil para os usuários, especialmente devido a uma combinação complexa de serviços conectados. Consequentemente, os usuários podem introduzir ou ignorar configurações incorretas e riscos, como os seguintes, ao proteger serviços sem servidor.
O estudo também reforça que as empresas devem entender que o modelo de responsabilidade compartilhada, no qual o CSP e o usuário aceitam as responsabilidade para manter o ambiente de nuvem seguro, também se aplica à computação sem servidor. A pesquisa fornece maneiras pelas quais serviços e implantações sem servidor podem ser protegidos contra riscos e ameaças por meio de práticas recomendadas e soluções de segurança. O relatório também dá exemplos e recomendações sobre como criar aplicativos seguros sem servidor. À medida que mais empresas mudam para a tecnologia sem servidor e mais aplicativos são criados nela, a Trend Micro entende que manter os serviços e implantações sem servidor seguros se torna mais crítico.
