无服务器计算的风险有:1、供应商的安全性,无服务器计算的功能是在提供商的基础设施上执行;2、多租户问题,会涉及敏感数据;3、注入攻击,如未经授权或意外的内容或数据被注入应用程序流;4、连接没有加密,可能会导致数据泄露;5、安全性的错误配置,如访问密钥、令牌、密码设置较简单;6、过度配置功能权限,使该功能面临潜在风险;7、组件漏洞,通过漏洞可能会利用无服务器功能。
具体内容如下:
1、供应商安全性
无服务器功能在提供商的基础设施上执行,这可能安全也有可能不安全。
2、多租户
无服务器服务中的功能通常运行在为多个客户运行代码的共享基础设施上,当涉及敏感数据时,这可能是一个问题。
3、注入攻击
在注入攻击中,未经授权或意外的内容或数据被注入应用程序流;而在无服务器模型中,注入攻击可以来自无服务器功能调用以执行的事件。
4、加密
无服务器功能通常可以调用数据库和其他特权资源,如果连接未加密,则可能会泄露数据。
5、安全性错误配置
为了能够访问不同的资源,开发人员可能会直接将访问密钥、令牌、密码输入到该功能中;而没有保护这些秘密是一种风险。
6、功能权限
通常无服务器功能被授予与服务器可能获得的相同权限。但是,无服务器功能需要很低限度的权限即可执行,而过度配置权限会使该功能面临潜在风险。
7、组件漏洞
功能通常依赖于第三方库和组件的供应链。如果其中一个组件中存在已知(或未知)漏洞,则可能会利用无服务器功能。
网友留言: