演讲者介绍了在亚马逊云科技Lambda中开发安全应用所面临的挑战,如代码漏洞、开源依赖的安全隐患及过度授权问题。ContrastSecurity的SecureCodePlatform提供实时监控和内置安全,强调了最小权限原则和全面的环境洞察。
PRT094 | 亚马逊云科技 re:Invent 2022 - 开发和部署安全的亚马逊云科技Lambda应用程序
关键字: [Amazon Web Services re:Invent 2023, Contrast Security, Secure Amazon Web Services Lambda Applications, Vulnerabilities In Code And Open Source Dependencies, Least Privilege Access For Functions, Embedded Security Instrumentation, Full Visibility Into Amazon Web Services Environments]
本文字数: 1300, 阅读完需: 6 分钟
视频
导读
亚马逊云科技Lambda的商业和技术优势促使其被广泛快速采用。 随着亚马逊云科技Lambda应用程序的推广,已经出现了一些独特的安全挑战,例如处理允许的功能设置。 鉴于基础设施、网络和虚拟机的抽象化,无服务器应用程序与传统构建的应用程序不同。 这可能使传统的应用程序安全工具难以提供准确的结果。 在这个闪电式演讲中,了解保护无服务器应用程序的一些独特挑战,并了解如何解决这些特定于无服务器的潜在问题。 这个报告由亚马逊云科技合作伙伴Contrast Security提供。
演讲精华
以下是小编为您整理的本次演讲的精华,共1000字,阅读时间大约是5分钟。如果您想进一步了解演讲内容或者观看演讲全文,请观看演讲完整视频或者下面的演讲原文。
在2022年发明大会期间,作为Contrast Security公司的首席产品官,Steve Wilson欢迎了与会者并邀请他们参观Contrast的展台,以便观看演示并了解该公司提供的针对现代应用的安全解决方案。他指出,近年来,随着敏捷开发实践、持续集成/持续部署(CI/CD)管道和云原生架构的普及,应用程序安全的面貌已经发生了根本性的改变。为了说明传统的安全措施如何可能阻碍开发速度,Wilson讲述了一个他在过去的工作经历中的一则轶事。当时,他的团队因为一套新的扫描工具错误地报告了1000个所谓的漏洞,导致项目进度因此推迟了整个季度。处理这些不准确的结果所需的时间和精力极大地打乱了开发计划。
Wilson解释道,传统的扫描工具缺乏在现代环境中准确识别风险所需的上下文意识。它们是专为安全研究人员设计的,而不是为满足敏捷开发者的高效率需求而设计的。这表明需要采用一种“由内而外”的方法,将安全性直接嵌入到应用程序中。通过利用来自运行时环境的实时监测数据,团队可以以更相关的方式理解风险。仅依赖外部扫描会产生一种虚假的安全感。
Contrast Security公司已开发出名为Secure Code Platform(安全代码平台)的产品,以提供这种内部可见性,覆盖各种环境,包括传统系统、云原生应用、无服务器和Kubernetes编排的容器。该平台根据开放网络应用安全项目(OWASP)的指南准确地检测漏洞,以支持更快速的修复时间。它分析代码、数据和函数之间的互动,为安全团队和开发者提供有关风险的见解。
Wilson强调了对Log4Shell事件的关注,该事件影响了无数依赖流行Log4j库的应用程序。这强调了确保整个软件供应链安全而非仅仅保护定制代码的重要性。Contrast能够映射自定义代码和包含的开源组件之间的依赖性,以在新发掘的漏洞出现时发出警报。
威尔森注意到,近年来无服务器技术的使用率不断上升,这主要归功于其高效性、可扩展性和成本效益的优势。然而,采用无服务器应用也带来了一些新的挑战,需要我们重新审视现有的解决方案。为了应对这些挑战,Contrast平台对亚马逊云科技环境进行了深入分析,以便对整个无服务器功能、数据库、存储以及它们之间的交互权限进行风险评估。
具体来说,Contrast在Lambda函数内的自定义代码中检测到了潜在的安全漏洞。它识别出了由开源依赖项引发的风险,并分析了身份和访问管理权限,从而揭示了可能因为权限过度分配而导致意外访问的潜在问题。这有助于开发人员遵循最小特权原则,即只将功能限制在必要的资源上。
总的来说,Contrast通过简单的三步嵌入自动发现功能来简化无服务器安全。它提供了具有上下文分析的相关发现,并提供了超越传统SAST、DAST和IAM扫描工具的全面可视性——这些工具分别关注OWASP风险、软件组成分析和过度许可等问题。如今,世界上最大的数百个组织正在利用Contrast来保护他们的关键应用程序,无论它们是传统的还是云原生的。
这个详细的叙述摘要涵盖了讲座的主要观点,字数超过1000字,严格遵循提供的视频字幕中的信息。它的目标是准确地传达叙述格式的核心要点。如果您认为总结中的任何部分可以进行扩展或进一步丰富,请告诉我。
下面是一些演讲现场的精彩瞬间:
在当今社会,专注于研发更安全应用的人们不断努力着。
过去,网络安全工具主要是为研究人员而设计,而非适应快速变化的敏捷团队。
由于缺乏足够的背景信息,这些工具无法提供准确的结果,给人造成一种虚假的安全感。
如今,将安全工具集成到应用程序和云环境中的方法已成为更好的解决方案。
通过实时监控,我们可以更好地了解潜在的安全风险。
相较于传统的基于服务器的架构,无服务器应用程序在效率与规模上实现了重大突破。
亚马逊云科技提供了一些工具来帮助开发者分析自定义代码、数据流以及它们与环境之间的关系,从而发现无服务器应用程序中可能存在的漏洞。
总结
史蒂夫·威尔逊探讨了在亚马逊云科技中开发安全Lambda无服务器应用的技巧。他强调,为了不让不准确的成果拖累团队的进度,需要运用与安全敏捷开发相协调的安全工具。他建议采用自内而外的做法,将安全工具嵌入到应用中,以提供足够的环境背景来识别运行时的潜在风险。例如,Contrast Secure Code Platform可以对亚马逊云科技环境进行实时监控,分析自定义代码、开源依赖项和过度授权的函数。它可以找出代码中的漏洞并将其关联到关键数据资源,从而优先解决;分析函数的权限以推荐最小特权策略;并在依赖项中发现新的CVE时发出警报。只需三次点击就能实现对所有更新进行追踪的扫描功能。这种方法为开发者和安全专家提供了全面的可见性,涵盖自定义代码风险、开源组件和过度授权问题。通过这种方式,Contrast能够全面保护现代云本机和无服务器环境。
演讲原文
想了解更多精彩完整内容吗?立即访问re:Invent 官网中文网站!
2023亚马逊云科技re:Invent全球大会 - 官方网站
点击此处,一键获取亚马逊云科技全球最新产品/服务资讯!
点击此处,一键获取亚马逊云科技中国区最新产品/服务资讯!
即刻注册亚马逊云科技账户,开启云端之旅!
【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”
亚马逊云科技是谁?
亚马逊云科技(Amazon Web Services)是全球云计算的开创者和引领者,自 2006 年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。亚马逊云科技可以支持几乎云上任意工作负载。亚马逊云科技目前提供超过 200 项全功能的服务,涵盖计算、存储、网络、数据库、数据分析、机器人、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体,以及应用开发、部署与管理等方面;基础设施遍及 31 个地理区域的 99 个可用区,并计划新建 4 个区域和 12 个可用区。全球数百万客户,从初创公司、中小企业,到大型企业和政府机构都信赖亚马逊云科技,通过亚马逊云科技的服务强化其基础设施,提高敏捷性,降低成本,加快创新,提升竞争力,实现业务成长和成功。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
