meetups

Serverless et sécurité, ce qu’il faut comprendre

Sujets : Serverless, sécurité, OWASP

19/06/2019 - 19h30 - 20h30

Par Steve Houël (Ippon). Merci !

Steve a créé daSWAG, un générateur d’application web serverless.

La sécurité et nous ?

La sécurité c’est pour les autres. Je n’ai pas le budget…

Pourtant les statistiques parlent : le plus gros coût d’une attaque c’est la productivité.

La sécurité et le cloud public, un mariage parfait ! On parle de modèles de partage de sécurité. AWS garantit le niveau le plus haut possible. Plus solide que du “on premise”.

Qu’est-ce que le serverless ?

Même si le terme porte à confusion il y a bien des serveurs physiques derrière mais pas besoin de les gérer, ni même d’y penser ou encore de provisionner en infrastructure. L’idée est de ne payer que ce que l’on utilise. Pour simplifier le serverless c’est du BaaS (backend as a service) et du FaaS (function as a service) = on déploie des fonctions et non des applications. Et enfin le serverless est basé sur les évènements.

Les bénéfices ?

Les inconvénients ?

Certains langages ne sont pas adaptés au serverless (Java ou .NET C# par exemple). Il est préférable d’utiliser Node, Go ou Python sur du serverless. Il y a peu de développeurs compétents dans ces domaines.

Et la sécurité dans tout ça ?

Les responsabilités ne sont pas les mêmes que sur d’autres architectures. Pas besoin de gérer la sécurité au niveau OS car pas d’accès depuis les fonctions. Le FaaS s’occupe de la partie OS, des VMs, des containers, des BDDs…

Dangers :

Les risques principaux sont connus et sont recensés notamment par le Top 10 OWASP (le dernier disponible en ligne semble dater de 2017).

Il existe également un top 12 des risques critiques pour le serverless édité par Puresec.

Top 10 serverless :

En conclusion, il vaut mieux prévenir que guérir :