Auch servless computing hat Sicherheitsprobleme

Mindestens jedes fünfte Unternehmen, 21%, hat Serverless Computing als Teil seiner Cloud-basierten Infrastruktur implementiert. Das ist das Ergebnis einer aktuellen Umfrage von Datamation unter 108 IT-Managern. Weitere 39% planen oder erwägen serverlose Ressourcen. Die Frage ist, wird Serverless Computing bald eine kritische Masse erreichen, die von einer Mehrheit der Unternehmen genutzt wird? Welche Auswirkungen hat das auf die Sicherheit? 

Bestehende Systeme und Anwendungen vor Ort - man kann einige von ihnen als "Legacy" bezeichnen - erfordern immer noch eine traditionellere Pflege und Versorgung. Selbst bestehende Cloud-basierte Anwendungen sind nach wie vor um den serverischeren Entwicklungs- und Bereitstellungsmodus herum strukturiert. 

Damit haben viele Unternehmen es jetzt zu tun - viele traditionelle Anwendungen, die es zu verwalten gilt, auch wenn sie mit dem Übergang in den serverlosen Modus beginnen. Auch wenn sich Anwendungen oder Systeme in der Cloud befinden, ist das immer noch näher an der traditionellen IT als serverlos auf dem Kontinuum, sagt Marc Feghali, Gründer und VP Produktmanagement bei Attivo Networks. "Traditionelle IT-Architekturen nutzen eine Server-Infrastruktur, die die Verwaltung der Systeme und Dienste erfordert, die für die Funktion einer Anwendung erforderlich sind", sagt er. Dabei spielt es keine Rolle, ob es sich um lokale oder Cloud-basierte Server handelt. "Die Anwendung muss immer laufen, und das Unternehmen muss andere Instanzen der Anwendung aufspulen, um mehr Last zu bewältigen, die tendenziell ressourcenintensiv ist."  

Die serverlose Architektur geht viel tiefer als traditionelle Cloud-Anordnungen, die immer noch nach dem serverischen Modell aufgebaut sind. Serverless, sagt Feghali, ist granularer, "und konzentriert sich stattdessen darauf, die Infrastruktur von einem Dritten zur Verfügung zu stellen, wobei das Unternehmen nur den Code für die Anwendungen bereitstellt, die in Funktionen unterteilt sind, die von dem Dritten gehostet werden. Dies ermöglicht es der Anwendung, die Skalierung auf der Grundlage der Funktionsverwendung vorzunehmen. Es ist kostengünstiger, da der Drittanbieter berechnet, wie oft die Anwendung die Funktion nutzt, anstatt die Anwendung ständig laufen zu lassen."

Wie sollte die bestehende oder bestehende Architektur abgeschafft werden? Handelt es sich um eine sofortige Kürzung oder sollte es sich um eine schrittweise Migration handeln? Feghali fordert eine schrittweise Migration unter besonderer Berücksichtigung der Sicherheitsanforderungen. "Es gibt spezifische Anwendungsfälle, die immer noch eine bestehende Legacy-Architektur erfordern", und Serverless Computing "wird durch Leistungsanforderungen, Ressourcenbeschränkungen und Sicherheitsbedenken eingeschränkt", betont Feghali. Der Vorteil von serverless ist, dass es sich "durch die Reduzierung der Kosten für die Berechnung auszeichnet. Allerdings sollte man, wo immer möglich, schrittweise auf eine serverlose Infrastruktur umsteigen, um sicherzustellen, dass sie die Anwendungsanforderungen erfüllen kann, bevor man die Legacy-Infrastruktur ausläuft".   

Wichtig ist, dass eine serverlose Architektur eine neue Sichtweise auf die Sicherheit erfordert, sagt Feghali: "Mit dem neuen Service oder der neuen Lösung müssen Sicherheitsrahmen evaluiert werden, um zu sehen, welche neuen Lücken und Risiken sich ergeben. Sie müssen dann ihre Kontrollen und Prozesse neu bewerten, um sie an diese neuen Risikomodelle anzupassen."

Sicherheitsprotokolle und -prozesse unterscheiden sich in einer serverlosen Umgebung. Mit dem Einsatz von Serverless Computing erweitert sich nämlich die Angriffsfläche eines Unternehmens. "Die Angriffsfläche ist viel größer, da Angreifer jede Komponente der Anwendung als Einstiegspunkt nutzen können", sagt Feghali, zu der "die Anwendungsschicht, der Code, die Abhängigkeiten, Konfigurationen und alle Cloud-Ressourcen, die ihre Anwendung benötigt, um ordnungsgemäß ausgeführt zu werden" gehören. Es gibt kein Betriebssystem, um das man sich um die Sicherheit sorgen müsste, aber es gibt keine Möglichkeit, Endpunkt- oder Netzwerk-Erkennungslösungen wie Antiviren- oder[Einbruchschutz- oder Präventionssysteme] zu installieren. Dieser Mangel an Transparenz ermöglicht es Angreifern, unentdeckt zu bleiben, da sie anfällige Funktionen für ihre Angriffe nutzen, sei es um Daten zu stehlen oder Zertifikate, Schlüssel und Anmeldeinformationen für den Zugriff auf das Unternehmen zu kompromittieren."

An dieser Stelle kann die Einführung der Sicherheitsmaßnahmen, die für einen besseren Schutz serverloser Umgebungen erforderlich sind, zu mehr Kosten und Overhead führen, so eine Studie der University of California in Berkeley unter der Leitung von Eric Jonas. "Serverless Computing verändert die Sicherheitsverantwortlichkeiten und verlagert viele von ihnen vom Cloud-Benutzer auf den Cloud-Anbieter, ohne sie grundlegend zu ändern", heißt es in ihrem Bericht. "Serverless Computing muss sich jedoch auch mit den Risiken auseinandersetzen, die mit der Disaggregation von multi-tenanten Ressourcen in beiden Anwendungen verbunden sind."

Ein Ansatz zur Sicherung der Serverlosigkeit sind "vergessene Algorithmen", so das UC Berkeley-Team weiter. "Die Tendenz, serverlose Anwendungen in viele kleine Funktionen zu zerlegen, verschärft diese Sicherheitsrisiken. Während das Hauptaugenmerk auf die Sicherheit von externen Angreifern gelegt wird, können die Netzwerkmuster durch die Verwendung vergesslicher Algorithmen vor Mitarbeitern geschützt werden. Leider haben diese meist einen hohen Overhead." 

Die physische Isolierung von serverlosen Ressourcen und Funktionen ist ein weiterer Ansatz - aber das kommt natürlich mit Premium-Preisen von Cloud-Anbietern. Jonas und sein Team sehen auch Möglichkeiten, sehr schnelle Instanzen von serverlosen Funktionen zu erzeugen. "Die Herausforderung bei der Bereitstellung von Sandboxing auf Funktionsebene besteht darin, eine kurze Startzeit einzuhalten, ohne die Ausführungsumgebungen in einer Weise zwischenzuspeichern, die den Zustand zwischen wiederholten Funktionsaufrufen teilt. Eine Möglichkeit wäre, die Instanzen lokal zu Snapshoten, so dass jede Funktion vom sauberen Zustand aus starten kann." 

Die Firma Attivio Networks von Feghali konzentriert sich auf die Einführung von "Deception-Technologien", die eine größere Transparenz über die verschiedenen Komponenten in einem serverlosen Stapel bieten sollen, "um zu verstehen, wann Sicherheitskontrollen nicht so funktionieren, wie sie sollten, um Angriffe zu erkennen, die sie umgangen haben, und um über Richtlinienverletzungen durch Insider, Lieferanten oder externe Bedrohungsakteure zu informieren".  

Die Übergabe der Schlüssel des Serverstapels an einen Drittanbieter bedeutet nicht, dass auch die Sicherheit ausgelagert wird. Die Sicherheit muss in der Verantwortung des Unternehmenskunden bleiben, denn er ist es, der im Falle einer Verletzung antworten muss.