クラウド責任共有モデル
クラウド コンピューティングを使用すると、企業は基盤となるインフラストラクチャのホスティングと保守の責任をサードパーティのクラウド サービス プロバイダーにアウトソーシングできます。 これにより、企業はクラウドのさまざまな利点を活用し、この基盤となるインフラストラクチャを保護する責任をクラウド プロバイダーに引き継ぐことができます。
ただし、 クラウド責任共有モデル、クラウド プロバイダーは、顧客のクラウド デプロイメントに対して全責任を負いません。 使用するクラウド モデル (SaaS、IaaS、PaaS など) に応じて、顧客はクラウド インフラストラクチャ スタックの特定のレベルにアクセスして制御できます。 お客様は、これらのレベルの構成と維持に加えて、それらを適切に保護する責任があります。
What is Serverless Security?
クラウド コンピューティングの利点を最大限に活用するには、クラウド ネイティブ ソリューションを導入する必要があります。 Azure Functions などのサーバーレス アプリケーションは、クラウド プロバイダーが顧客ではなくインフラストラクチャ スタック全体を管理する環境で実行され、開発者がコードをデプロイして実行するための管理された環境を作成します。
サーバーレスの機能と環境の設計には、固有のセキュリティリスクが生じます。 たとえば、サーバーレス機能は、特定のイベントに応答する場合にのみアクティブになるアプリケーションであるため、従来のセキュリティ ソリューションでは効果的に監視することが困難です。 サーバレス セキュリティ Azure Functions やその他のサーバーレス アプリケーションの固有のニーズとセキュリティの課題に合わせたセキュリティを提供します。
Azure Functions のセキュリティの重要性
企業が Microsoft Azure をより完全に導入するにつれて、「リフト アンド シフト」された可能性のあるレガシー アプリケーションがクラウド ネイティブのサーバーレス アプリケーションに再設計される可能性が高く、新しい開発ではサーバーレス エコシステムが最大限に活用されるようになります。 その結果、企業ではサーバーレス アプリケーションの数が増加することになります。
これらのアプリケーションは機密情報にアクセスし、組織の IT ソリューションのコア コンポーネントを実装する可能性があります。 データ侵害、重要なサービスの中断、および組織の運用に対するその他の潜在的な脅威を防ぐには、強力な Azure Functions セキュリティの実装が不可欠です。
Azure Functions のセキュリティのベスト プラクティス
Azure Functions のようなサーバーレス アプリケーションは、非サーバーレス アプリケーションと同じセキュリティ上の脅威の多くに直面しています。 ただし、サーバーレス関数には、固有のセキュリティリスクと、それらを管理するためのベストプラクティスもあります。
これらのベスト プラクティスには、次のようなものがあります。
- 信頼できない入力の検証: インジェクション攻撃はアプリケーションのセキュリティに対する最大の脅威の 1 つであり、これらの脆弱性は、アプリケーションが信頼できない入力を強制せずに想定するために存在します。 入力を処理する前に検証することで、Azure Functions やその他のアプリケーションをインジェクション攻撃から保護できます。
- 最小特権の実装: Azure 関数に悪用可能な脆弱性がある場合、攻撃者はこれを利用して機密データやその他の企業 IT 資産にアクセスする可能性があります。 Azure Functions のアクセスをそのロールに必要なもののみに制限すると、攻撃やアプリケーションに関するその他の問題の影響を最小限に抑えることができます。
- サプライチェーンリスクの管理: アプリケーションは通常、さまざまなサードパーティ ライブラリやその他の外部依存関係に依存しており、これらには攻撃者によって悪用される可能性のある脆弱性が含まれている可能性があります。 セキュリティ更新プログラムの依存関係を監視し、それらを迅速にインストールすることは、それらに依存するアプリケーションのセキュリティを維持するために不可欠です。
- 安全なクラウドストレージ: 通常、Azure Functions はステートレスであり、重要な状態データを維持するためにクラウド ストレージに依存しています。ただし、クラウド データのセキュリティは組織にとって共通の課題です。 クラウド データ ストレージへのアクセスを制限することは、サーバーレス機能のデータの機密性、整合性、可用性を確保するために不可欠です。
- 関数シークレットの保護: Azure Functions は、暗号キー、API キー、その他のデータなどの機密情報にアクセスする必要がある場合があります。 このデータは安全に保存し、攻撃者がアクセスできる可能性のあるプレーンテキストの構成ファイルや環境変数に配置しないでください。
- ゼロトラストセキュリティの強化: サーバーレス アプリケーションは相互接続できるように設計されています。 公開されているものもあれば、重要なデータや機能にアクセスするものもあるため、認証とアクセス管理の手法が不十分なため、重要な機能が攻撃に対して脆弱になる可能性があります。 認証と承認は、すべてのアクセス要求が精査され、最小特権のアクセス制御に基づいて承認または拒否されるゼロトラストモデルの下で実施する必要があります。
CloudGuard による Azure Functions のセキュリティ
サーバーレス アプリケーションの導入は、組織がクラウド コンピューティングの利点を最大限に活用できるようにするために不可欠です。 ただし、Azure Functions のようなサーバーレス アプリケーションには、企業が管理する必要がある固有のセキュリティ リスクが伴います。 サーバーレス セキュリティは、組織の Microsoft のコア コンポーネントである必要があります。 Azure環境で強固なセキュリティを実現 戦略。
サーバーレス関数が直面する主なリスクの詳細については、 サーバーレスセキュリティ リスクと緩和戦略 電子ブック。 次に、チェック・ポイントを使用して組織の Azure Functions を保護する方法を学びます。 チェック・ポイントCloudGuard Workloadの無料デモ 今日。
Feedback