Taller: Consideraciones de Seguridad en Arquitecturas Serverless

El pasado sábado 26 de octubre de 2024 se realizó la HBSCONF, en la que fui invitado a impartir un taller. El título del taller fue “Consideraciones de Seguridad en Arquitecturas Serverless”.

En este blog realizaré un resumen de la presentación, enlaces y datos para que sirva como memoria a los asistentes y guía a quienes no pudieron asistir.

¿Qué es Serverless?

En este blog, en el que colaboré con un amigo, he relatado una introducción al concepto de Serverless realizando un análisis de dónde procede el término y cómo evoluciona. El término aparece en internet por primera vez en el rango de años del 2000-2013.

Sin embargo, fue con la llegada del Cloud, y más precisamente en el 2014, con la aparición de Lambda como servicio en el Reinvent, que el concepto de serverless se popularizó en el mundo de desarrollo de aplicaciones en el Cloud.

Luego, comenté la visión que tienen los distintos Cloud Provider (AWS, Google, Azure) sobre la tecnología serverless.

AWS Serverless: https://aws.amazon.com/es/serverless/

Google Serverless: https://cloud.google.com/serverless

Azure Serverless: https://azure.microsoft.com/es-es/products/functions/

Serverless en AWS

Durante el taller me centré específicamente en los servicios Serverless ofrecidos por AWS. Dejo aquí un enlace a la documentación de AWS con los servicios que ellos consideran Serverless:

https://docs.aws.amazon.com/serverless/latest/devguide/serverless-core-services.html

Modelo de responsabilidad Compartida

Comenté el modelo de responsabilidad compartida que propone AWS, https://aws.amazon.com/es/compliance/shared-responsibility-model/ un modelo el cual explica las responsabilidades de cada uno de los actores en el Cloud desde su perspectiva y en el ámbito de la seguridad.

OWASP Serverless

Para hablar específicamente de seguridad en Serverless seguimos el informe del 2017 de OWASP sobre las diez vulnerabilidades más importantes: https://owasp.org/www-project-serverless-top-10/

DEMO:

Basado en el contexto del OWASP y en los detalles del Cloud, realicé un recorrido por los siguientes puntos:

• Validación de esquemas

  • En función del lenguaje de programación:

    • Python:

      • https://docs.pydantic.dev/latest/

      • https://marshmallow.readthedocs.io/en/stable/

    • Node.js:

      • https://joi.dev/

      • github.com/aeberdinelli/schemy

• Parameter Store / Secret manager

  • https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html

• Cloud Watch

  • https://aws.amazon.com/es/cloudwatch/

• X-Ray

  • https://aws.amazon.com/es/xray/

• CloudTrail

  • https://aws.amazon.com/es/cloudtrail/

• AWS Signer

  • https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html

Referencias:

• Amazon Serverless: https://aws.amazon.com/es/blogs/compute/introducing-the-new-serverless-lamp-stack/

• Lista de reproducción con charlas relacionadas con Serverless: https://www.youtube.com/watch?v=3LgFUtTfgTU&list=PLFn3sj68ZOmRKIwfX7t9lpDCfJSFQFIsa