もう，6月だぞ？

やること

SecHack365 2018に社会人枠として採用されましてテーマとしてはサーバーレスでセキュアなアプリケーションの実現というテーマ で研究/開発をします．日常はホスティング事業者としてホスティングサービスの開発や運用をするのが仕事ですが，今回はホスティング利���者/開発者目線でどのようにすればサーバーレスアーキテクチャにおけるセキュリティが担保されるのか1年間考えていきたい(これは罠で全体で10カ月ほどしかない)．

サーバーレスとは？

サーバーを自前で用意せずマネージドサービスを活用していってクラウド事業者のベストプラクティスなシステムを使うことでインフラエンジニアは本来の目的()に注力することが出来ます．世の中にはもちろん，クラウドやサーバーレスには適さないシステムも大量にあるわけで適材適所で最適なものを選ぶこともインフラエンジニアの仕事の一つになっていく．

サーバーレスの既存セキュリティ問題について

The top 10 security challenges of serverless architectures で定義されているサーバーレスにおけるセキュリティの課題は以下の通りです．

1. Function event data injection ファンクションへの不正なイベントデーターの注入
2. Broken authentication 認証が壊れている場合
3. Insecure serverless deployment configuration サーバーレスデプロイの設定ミス
4. Over-privileged function permissions and roles アクセス権限の許可と付与
5. Inadequate function monitoring and logging 監視とログ収集が十分でない
6. Insecure third-party dependencies 不確実な第三者の依存関係
7. Insecure application secrets storage 安全でないストレージ
8. DDoS attacks, resources stretched to the limit DDos攻撃がリソースの限界まで広がっている．
9. Serverless function execution flow manipulation サーバーレスファンクションの実行フローの操作
10. Improper exception handling and verbose error messages 不適切な例外処理と冗長なエラーメッセージ

これらが現段階でサーバーレスやFaaSで見えている課題である．これらの課題を解決する方法について今は本当に全く分からん．なので，今後はデプロイツールのTerraformやServerless Framework,Serverless Component,サーバーレスアプリケーション用開発者ツールなどを使ってみて問題点や改善できる点を徐々に上げてそこから問題解決をやっていきたい．

参照

Why The Future Of Software And Apps Is Serverless – ReadWrite
Fantastic Serverless security risks, and where to find them
サーバレスにおけるセキュリティ - 一体何を守るのか？
The top 10 security challenges of serverless architectures | ZDNet
Serverless Frameworkを使ったAPI Gateway + Lambda + DynamoDBのセットアップ方法まとめ
サーバーレスアーキテクチャの最新動向 - こんなにできてしまうAzure Functions -