O modelo de exploração de aplicações ServerLess

As ofertas de plataforma como serviço (PaaS) ServerLess (sem servidor) estão sendo implantadas em uma taxa crescente por vários motivos. Eles se relacionam com as informações de várias maneiras, abrindo novas oportunidades para coletar dados, identificar dados e, finalmente, encontrar maneiras de transformar dados em valor.

As aplicações ServerLess podem responder de maneira econômica e processar informações em escala, retornando modelos de dados críticos e transformações de forma síncrona para navegadores ou dispositivos móveis. Os aplicativos síncronos ServerLess desbloqueiam as interações de dispositivos móveis e o processamento em tempo quase real para insights on-the-go.

Aplicativos sem servidor assíncrono podem criar conjuntos de dados e visualizações em grandes lotes de dados ao longo do tempo. Anteriormente, precisávamos ter todos os dados e executar relatórios em lote, mas agora temos a capacidade de escalonar eventos ou até mesmo fazer solicitações, esperar algum tempo para verificá-los e obter resultados que agreguem valor à organização por alguns minutos. ou uma hora depois.

Áreas tão diversas quanto tratores, manufatura e navegação estão se beneficiando da capacidade de transmitir pontos de dados individuais e procurar por relacionamentos maiores. Esses fluxos criam valor a partir de pequenos bits de dados. Individualmente eles são inócuos e de valor mínimo, mas juntos eles fornecem uma nova inteligência que lutamos para capturar antes.

O tema principal em todos esses modelos é o valor dos dados subjacentes. Proteger esses dados, enquanto ainda o utiliza para criar valor, torna-se um objetivo crítico para o negócio de transformação da nuvem. Podemos começar examinando o modelo de como os dados entram e saem do aplicativo. Um modelo básico de acesso e dados ilustra a maneira como o aplicativo, o meio de acesso, a segurança do provedor CSP e o aplicativo PaaS ServerLess precisam trabalhar juntos para equilibrar proteção e capacidade.

Uma exploração mais profunda do ambiente de segurança – e a responsabilidade compartilhada na segurança da nuvem – nos obriga a observar com mais cuidado quem está envolvido e como cada parte no ecossistema da nuvem está capacitada para ver ameaças potenciais ao ambiente e à transação especificamente . Quando expandimos o modelo de acesso e dados para examinar as atividades em um aplicativo moderno sem servidor, podemos ver como as ameaças potenciais se expandem rapidamente.

As organizações que usam esse modelo comum para um aplicativo PaaS sem servidor integrado também estão obtendo informações de elementos de infra-estrutura como serviço (IaaS) no ambiente. Isso leva a uma visão mais específica das ameaças existentes:

Ao levar a equipe de segurança das informações a uma análise mais cuidadosa e específica das maneiras pelas quais o aplicativo pode ser explorado, eles podem executar ações simples para garantir que tanto as atividades de desenvolvimento quanto a arquitetura do próprio aplicativo ofereçam proteção. Alguns exemplos:

  • Ameaça: Rede sniffing / MITM
  • Proteção: TLS de alta integridade, com solicitações e respostas de API assinadas

 

  • Ameaça: exploração de código
  • Proteção: Revisão de código e teste SAST / caneta no cronograma regular

 

  • Ameaça: exploração da estrutura de dados
  • Proteção: segmentação de dados forçada de API e modelo de dados gerenciados de limitação de solicitação

A organização primeiro deve reconhecer o risco potencial, torná-lo parte da cultura para fazer a pergunta: “Quais ameaças aos meus dados a minha mudança ou novo widget introduz?” E torná-lo uma expectativa de implantação de que a privacidade e a segurança exigem uma resposta.

Caso contrário, sua propriedade intelectual pode se tornar a base do lucro de outra pessoa.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *