Trend Micro alerta riscos de segurança sem servidor em nuvem

Relatório aponta que tecnologia sem servidor não está imune a ameaças e avalia possíveis cenários de comprometimento em ambientes em nuvem

Compartilhar:

A Trend Micro alerta que os serviços sem servidor (serverless) em nuvem não estão acima dos riscos e ameaças. A companhia elaborou o relatório Securing Weak Points in Serverless Architectures: Risks and Recommendations que fornece uma discussão abrangente sobre os possíveis cenários de comprometimento e ataque envolvendo serviços sem servidor. O documento ressalta que existem maneiras de manter os serviços sem servidor e as implantações seguras.

 

A computação sem servidor refere-se à tecnologia que oferece suporte a serviços de back-end e permite que as empresas aproveitem a transferência de certas responsabilidades para os Provedores de Serviços em Nuvem (CSPs), como a Amazon Web Services (AWS), incluindo gerenciamento de capacidade, patching e disponibilidade. Com a computação sem servidor, as empresas podem criar aplicativos back-end sem estar diretamente envolvidas na disponibilidade e escalabilidade. O termo “sem servidor”, no entanto, não significa que este modelo de computação não utiliza servidores físicos. O diferencial é que as empresas não precisam mais estar diretamente envolvidas na manutenção e proteção dessas estruturas.

 

O relatório elaborado por Alfredo de Oliveira, pesquisador sênior de Ameaças da Trend Micro, aponta que como os serviços sem servidor têm funções sem estado, os dados nesses serviços permanecem em cache e não são armazenados na memória. Ao mover dados de serviços sem servidor para locais externos, as empresas devem estar cientes de como os dados são transferidos para evitar vazamento.

 

A segurança de arquiteturas sem servidor é garantida em sua maior parte pelos CSPs, que lidam com a segurança dos componentes de computação de infraestrutura da tecnologia sem servidor. É por isso, de acordo com o estudo, que a tecnologia sem servidor é considerada relativamente mais segura do que outros modelos de computação em nuvem. Mas, como qualquer outra tecnologia existente, não é imune a riscos e ameaças, ressalta a Trend Micro.

 

Os principais provedores, como a AWS, usam a política de privilégios mínimos ao conceder permissões para tarefas específicas. Eles também aplicam a abordagem de negação padrão, que garante que cada serviço não possa se comunicar ou não seja acessível a outro, a menos que as permissões necessárias sejam concedidas. A Trend Micro alerta, entretanto, que a atribuição e verificação manual de privilégios aumenta a segurança, mas pode ser difícil para os usuários, especialmente devido a uma combinação complexa de serviços conectados. Consequentemente, os usuários podem introduzir ou ignorar configurações incorretas e riscos, como os seguintes, ao proteger serviços sem servidor.

 

O estudo também reforça que as empresas devem entender que o modelo de responsabilidade compartilhada, no qual o CSP e o usuário aceitam as responsabilidade para manter o ambiente de nuvem seguro, também se aplica à computação sem servidor. A pesquisa fornece maneiras pelas quais serviços e implantações sem servidor podem ser protegidos contra riscos e ameaças por meio de práticas recomendadas e soluções de segurança. O relatório também dá exemplos e recomendações sobre como criar aplicativos seguros sem servidor. À medida que mais empresas mudam para a tecnologia sem servidor e mais aplicativos são criados nela, a Trend Micro entende que manter os serviços e implantações sem servidor seguros se torna mais crítico.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

F5 adquire organização de segurança de IA empresarial por 180 milhões de dólares

Movimento pode evidenciar a crescente preocupação com a implementação de estratégias para a IA empresarial e a necessidade de novas...
Security Report | Overview

ANPD assina acordo com autoridade dos Emirados Árabes para proteção de dados

Segundo o organização, a iniciativa é uma tentativa de fortalecer a cooperação entre países para a proteção de dados pessoais,...
Security Report | Overview

Girona F.C. forma nova parceria de Cibersegurança em seus sistemas

O clube espanhol de futebol, Girona FC, adota a arquitetura de cibersegurança para proteger seus ambientes digitais
Security Report | Overview

Tentativas de fraudes online atingem quase 60% dos brasileiros, revela pesquisa

Pesquisa revela que mais da metade dos brasileiros caem em golpes; Compras online e Pix concentram a maior quantidade de...