Serverless.com Security

기본 정보

조직

조직은 Serverless Framework 생태계 내에서 가장 높은 수준의 엔터티입니다. 이는 여러 프로젝트, 팀 및 애플리케이션을 포함하는 집단 그룹을 나타냅니다. 예를 들어 회사, 부서 또는 대규모 엔터티가 될 수 있습니다.

팀

팀은 조직 내에서 접근 권한이 있는 사용자들입니다. 팀은 역할에 따라 구성원을 조직하는 데 도움을 줍니다. **협력자**는 기존 앱을 보고 배포할 수 있으며, **관리자**는 새로운 앱을 생성하고 조직 설정을 관리할 수 있습니다.

애플리케이션

앱은 조직 내 관련 서비스의 논리적 그룹입니다. 이는 여러 서버리스 서비스로 구성된 완전한 애플리케이션을 나타내며, 이 서비스들은 함께 작동하여 일관된 기능을 제공합니다.

서비스

서비스는 서버리스 애플리케이션의 핵심 구성 요소입니다. 이는 전체 서버리스 프로젝트를 나타내며, 필요한 모든 함수, 구성 및 리소스를 캡슐화합니다. 일반적으로 serverless.yml 파일에 정의되며, 서비스에는 서비스 이름, 제공자 구성, 함수, 이벤트, 리소스, 플러그인 및 사용자 정의 변수를 포함한 메타데이터가 포함됩니다.

service: my-service
provider:
name: aws
runtime: nodejs14.x
functions:
hello:
handler: handler.hello

functions:
hello:
handler: handler.hello
events:
- http:
path: hello
method: get

functions:
hello:
handler: handler.hello
events:
- http:
path: hello
method: get
- schedule:
rate: rate(10 minutes)

resources:
Resources:
MyDynamoDBTable:
Type: AWS::DynamoDB::Table
Properties:
TableName: my-table
AttributeDefinitions:
- AttributeName: id
AttributeType: S
KeySchema:
- AttributeName: id
KeyType: HASH
ProvisionedThroughput:
ReadCapacityUnits: 1
WriteCapacityUnits: 1

yamlCopy codeprovider:
name: aws
runtime: nodejs14.x
region: us-east-1
stage: dev

provider:
stage: dev

provider:
region: us-west-2

plugins:
- serverless-offline
- serverless-webpack

layers:
commonLibs:
path: layer-common
functions:
hello:
handler: handler.hello
layers:
- { Ref: CommonLibsLambdaLayer }

functions:
hello:
handler: handler.hello
environment:
TABLE_NAME: ${self:custom.tableName}

custom:
tableName: my-dynamodb-table
stage: ${opt:stage, 'dev'}

¡outputs:
ApiEndpoint:
Description: "API Gateway endpoint URL"
Value:
Fn::Join:
- ""
- - "https://"
- Ref: ApiGatewayRestApi
- ".execute-api."
- Ref: AWS::Region
- ".amazonaws.com/"
- Ref: AWS::Stage

provider:
iamRoleStatements:
- Effect: Allow
Action:
- dynamodb:Query
- dynamodb:Scan
Resource: arn:aws:dynamodb:${self:provider.region}:*:table/my-table

provider:
environment:
STAGE: ${self:provider.stage}
functions:
hello:
handler: handler.hello
environment:
TABLE_NAME: ${self:custom.tableName}

plugins:
- serverless-webpack

custom:
hooks:
before:deploy:deploy: echo "Starting deployment..."

Tutorial

이것은 공식 튜토리얼 문서에서의 요약입니다:

1. AWS 계정을 생성합니다 (Serverless.com은 AWS 인프라에서 시작합니다)

2. serverless.com에 계정을 생성합니다

3. 앱을 생성합니다:

# Create temp folder for the tutorial
mkdir /tmp/serverless-tutorial
cd /tmp/serverless-tutorial

# Install Serverless cli
npm install -g serverless

# Generate template
serverless #Choose first one (AWS / Node.js / HTTP API)
## Indicate a name like "Tutorial"
## Login/Register
## Create A New App
## Indicate a name like "tutorialapp)

이것은 app을 tutorialapp이라고 생성했어야 하며, serverless.com에서 확인할 수 있고, helloworld 코드가 포함된 JS 코드가 있는 handler.js 파일과 해당 함수를 선언하는 serverless.yml 파일이 있는 Tutorial이라는 폴더를 생성했어야 합니다:

exports.hello = async (event) => {
return {
statusCode: 200,
body: JSON.stringify({
message: "Go Serverless v4! Your function executed successfully!",
}),
};
};

# "org" ensures this Service is used with the correct Serverless Framework Access Key.
org: testing12342
# "app" enables Serverless Framework Dashboard features and sharing them with other Services.
app: tutorialapp
# "service" is the name of this project. This will also be added to your AWS resource names.
service: Tutorial

provider:
name: aws
runtime: nodejs20.x

functions:
hello:
handler: handler.hello
events:
- httpApi:
path: /
method: get

1. 대시보드에서 AWS 공급자를 생성합니다: https://app.serverless.com/<org name>/settings/providers?providerId=new&provider=aws.

2. serverless.com에 AWS 접근 권한을 부여하기 위해 이 구성 파일을 사용하여 클라우드포메이션 스택을 실행하라는 요청이 있습니다 (이 글을 작성할 당시): https://serverless-framework-template.s3.amazonaws.com/roleTemplate.yml

3. 이 템플릿은 **SFRole-<ID>**라는 역할을 생성하며, **arn:aws:iam::aws:policy/AdministratorAccess**를 통해 Serverless.com AWS 계정이 역할에 접근할 수 있도록 허용하는 신뢰 ID를 갖습니다.

1. 튜토리얼에서는 기본적으로 새로운 API 엔드포인트를 생성하는 createCustomer.js 파일을 만들고, 생성된 람다를 사용할 역할을 정의하며 새로운 DynamoDB 테이블을 생성하고 환경 변수를 정의하기 위해 serverless.yml 파일을 수정하라고 요청합니다.

'use strict'
const AWS = require('aws-sdk')
module.exports.createCustomer = async (event) => {
const body = JSON.parse(Buffer.from(event.body, 'base64').toString())
const dynamoDb = new AWS.DynamoDB.DocumentClient()
const putParams = {
TableName: process.env.DYNAMODB_CUSTOMER_TABLE,
Item: {
primary_key: body.name,
email: body.email,
},
}
await dynamoDb.put(putParams).promise()
return {
statusCode: 201,
}
}

# "org" ensures this Service is used with the correct Serverless Framework Access Key.
org: testing12342
# "app" enables Serverless Framework Dashboard features and sharing them with other Services.
app: tutorialapp
# "service" is the name of this project. This will also be added to your AWS resource names.
service: Tutorial

provider:
name: aws
runtime: nodejs20.x
environment:
DYNAMODB_CUSTOMER_TABLE: ${self:service}-customerTable-${sls:stage}
iam:
role:
statements:
- Effect: 'Allow'
Action:
- 'dynamodb:PutItem'
- 'dynamodb:Get*'
- 'dynamodb:Scan*'
- 'dynamodb:UpdateItem'
- 'dynamodb:DeleteItem'
Resource: arn:aws:dynamodb:${aws:region}:${aws:accountId}:table/${self:service}-customerTable-${sls:stage}

functions:
hello:
handler: handler.hello
events:
- httpApi:
path: /
method: get
createCustomer:
handler: createCustomer.createCustomer
events:
- httpApi:
path: /
method: post

resources:
Resources:
CustomerTable:
Type: AWS::DynamoDB::Table
Properties:
AttributeDefinitions:
- AttributeName: primary_key
AttributeType: S
BillingMode: PAY_PER_REQUEST
KeySchema:
- AttributeName: primary_key
KeyType: HASH
TableName: ${self:service}-customerTable-${sls:stage}

1. serverless deploy 실행하여 배포합니다.

2. 배포는 CloudFormation Stack을 통해 수행됩니다.

3. 람다 함수는 직접 URL이 아닌 API 게이트웨이를 통해 노출됩니다.

4. 테스트합니다.

5. 이전 단계에서 API 엔드포인트 람다 함수가 배포된 URL이 출력됩니다.

Serverless.com의 보안 검토

잘못 구성된 IAM 역할 및 권한

과도하게 허용된 IAM 역할은 클라우드 리소스에 대한 무단 액세스를 허용하여 데이터 유출 또는 리소스 조작으로 이어질 수 있습니다.

완화 전략

• 최소 권한 원칙: 각 함수에 필요한 권한만 할당합니다.

provider:
iamRoleStatements:
- Effect: Allow
Action:
- dynamodb:Query
- dynamodb:Scan
Resource: arn:aws:dynamodb:${self:provider.region}:*:table/my-table

• 별도의 역할 사용: 함수 요구 사항에 따라 역할을 구분합니다.

안전하지 않은 비밀 및 구성 관리

민감한 정보(예: API 키, 데이터베이스 자격 증명)를 serverless.yml 또는 코드에 직접 저장하면 리포지토리가 손상되거나 AWS에 대한 액세스가 손상될 경우 노출될 수 있습니다. 이는 람다 구성에서 읽을 수 있습니다.

완화 전략

• 환경 변수: 하드코딩 없이 런타임에 비밀을 주입합니다.

provider:
environment:
DB_PASSWORD: ${ssm:/aws/reference/secretsmanager/my-db-password~true}

• 비밀 관리자 통합: AWS Secrets Manager, Azure Key Vault 또는 HashiCorp Vault와 같은 서비스를 사용합니다.

• 암호화된 변수: 민감한 데이터에 대해 Serverless Framework의 암호화 기능을 활용합니다.

• 액세스 제어: 역할에 따라 비밀에 대한 액세스를 제한합니다.

• 비밀 로깅 방지: 비밀이 로그나 오류 메시지에 노출되지 않도록 합니다.

취약한 코드 및 종속성

구식 또는 안전하지 않은 종속성은 취약점을 도입할 수 있으며, 부적절한 입력 처리는 코드 주입 공격으로 이어질 수 있습니다.

완화 전략

• 종속성 관리: 종속성을 정기적으로 업데이트하고 취약점을 스캔합니다.

plugins:
- serverless-webpack
- serverless-plugin-snyk

• 입력 검증: 모든 입력에 대해 엄격한 검증 및 정화를 구현합니다.

• 코드 리뷰: 보안 결함을 식별하기 위해 철저한 리뷰를 수행합니다.

• 정적 분석: 도구를 사용하여 코드베이스의 취약점을 감지합니다.

부적절한 로깅 및 모니터링

적절한 로깅 및 모니터링이 없으면 악의적인 활동이 감지되지 않을 수 있으며, 사건 대응이 지연될 수 있습니다.

완화 전략

• 중앙 집중식 로깅: AWS CloudWatch 또는 Datadog와 같은 서비스를 사용하여 로그를 집계합니다.

plugins:
- serverless-plugin-datadog

• 상세 로깅 활성화: 민감한 데이터를 노출하지 않고 필수 정보를 캡처합니다.

• 알림 설정: 의심스러운 활동이나 이상 징후에 대한 알림을 구성합니다.

• 정기 모니터링: 잠재적인 보안 사건에 대해 로그 및 메트릭을 지속적으로 모니터링합니다.

안전하지 않은 API 게이트웨이 구성

열려 있거나 부적절하게 보호된 API는 무단 액세스, 서비스 거부(DoS) 공격 또는 교차 사이트 공격에 악용될 수 있습니다.

완화 전략

• 인증 및 권한 부여: OAuth, API 키 또는 JWT와 같은 강력한 메커니즘을 구현합니다.

functions:
hello:
handler: handler.hello
events:
- http:
path: hello
method: get
authorizer: aws_iam

• 요청 속도 제한 및 조절: 요청 속도를 제한하여 남용을 방지합니다.

provider:
apiGateway:
throttle:
burstLimit: 200
rateLimit: 100

• 안전한 CORS 구성: 허용된 출처, 메서드 및 헤더를 제한합니다.

functions:
hello:
handler: handler.hello
events:
- http:
path: hello
method: get
cors:
origin: https://yourdomain.com
headers:
- Content-Type

• 웹 애플리케이션 방화벽(WAF) 사용: 악의적인 패턴에 대해 HTTP 요청을 필터링하고 모니터링합니다.

불충분한 함수 격리

공유 리소스와 불충분한 격리는 권한 상승 또는 함수 간의 의도하지 않은 상호 작용으로 이어질 수 있습니다.

완화 전략

• 함수 격리: 독립적인 작동을 보장하기 위해 고유한 리소스 및 IAM 역할을 할당합니다.

• 리소스 파티셔닝: 서로 다른 함수에 대해 별도의 데이터베이스 또는 저장소 버킷을 사용합니다.

• VPC 사용: 향상된 네트워크 격리를 위해 가상 사설 클라우드 내에서 함수를 배포합니다.

provider:
vpc:
securityGroupIds:
- sg-xxxxxxxx
subnetIds:
- subnet-xxxxxx

• 함수 권한 제한: 함수가 명시적으로 요구되지 않는 한 서로의 리소스에 접근하거나 간섭할 수 없도록 합니다.

부적절한 데이터 보호

정지 상태 또는 전송 중 암호화되지 않은 데이터는 노출될 수 있으며, 데이터 유출 또는 변조로 이어질 수 있습니다.

완화 전략

• 정지 상태 데이터 암호화: 클라우드 서비스 암호화 기능을 활용합니다.

resources:
Resources:
MyDynamoDBTable:
Type: AWS::DynamoDB::Table
Properties:
SSESpecification:
SSEEnabled: true

• 전송 중 데이터 암호화: 모든 데이터 전송에 HTTPS/TLS를 사용합니다.

• API 통신 보안: 암호화 프로토콜을 시행하고 인증서를 검증합니다.

• 암호화 키를 안전하게 관리: 관리형 키 서비스를 사용하고 키를 정기적으로 교체합니다.

적절한 오류 처리 부족

상세한 오류 메시지는 인프라 또는 코드베이스에 대한 민감한 정보를 유출할 수 있으며, 처리되지 않은 예외는 애플리케이션 충돌로 이어질 수 있습니다.

완화 전략

• 일반 오류 메시지: 오류 응답에서 내부 세부 정보를 노출하지 않도록 합니다.

javascriptCopy code// Node.js의 예
exports.hello = async (event) => {
try {
// 함수 로직
} catch (error) {
console.error(error);
return {
statusCode: 500,
body: JSON.stringify({ message: 'Internal Server Error' }),
};
}
};

• 중앙 집중식 오류 처리: 모든 함수에서 일관되게 오류를 관리하고 정화합니다.

• 오류 모니터링 및 로깅: 세부 정보를 최종 사용자에게 노출하지 않고 내부적으로 오류를 추적하고 분석합니다.

안전하지 않은 배포 관행

노출된 배포 구성 또는 CI/CD 파이프라인에 대한 무단 액세스는 악의적인 코드 배포 또는 잘못된 구성을 초래할 수 있습니다.

완화 전략

• CI/CD 파이프라인 보안: 엄격한 액세스 제어, 다단계 인증(MFA) 및 정기 감사 구현합니다.

• 구성을 안전하게 저장: 배포 파일에서 하드코딩된 비밀 및 민감한 데이터를 제거합니다.

• 코드로서의 인프라(IaC) 보안 도구 사용: Checkov 또는 Terraform Sentinel과 같은 도구를 사용하여 보안 정책을 시행합니다.

• 불변 배포: 불변 인프라 관행을 채택하여 배포 후 무단 변경을 방지합니다.

플러그인 및 확장 프로그램의 취약점

검증되지 않거나 악의적인 제3자 플러그인을 사용하면 서버리스 애플리케이션에 취약점을 도입할 수 있습니다.

완화 전략

• 플러그인 철저히 검토: 통합 전에 플러그인의 보안을 평가하고, 평판이 좋은 출처의 플러그인을 선호합니다.

• 플러그인 사용 제한: 공격 표면을 최소화하기 위해 필요한 플러그인만 사용합니다.

• 플러그인 업데이트 모니터링: 보안 패치를 활용하기 위해 플러그인을 업데이트합니다.

• 플러그인 환경 격리: 잠재적인 손상을 방지하기 위해 플러그인을 격리된 환경에서 실행합니다.

민감한 엔드포인트 노출

공개적으로 접근 가능한 함수 또는 제한 없는 API는 무단 작업에 악용될 수 있습니다.

완화 전략

• 함수 액세스 제한: VPC, 보안 그룹 및 방화벽 규칙을 사용하여 신뢰할 수 있는 출처로의 액세스를 제한합니다.

• 강력한 인증 구현: 모든 노출된 엔드포인트가 적절한 인증 및 권한 부여를 요구하도록 합니다.

• API 게이트웨이를 안전하게 사용: API 게이트웨이를 구성하여 입력 검증 및 속도 제한을 포함한 보안 정책을 시행합니다.

• 사용하지 않는 엔드포인트 비활성화: 더 이상 사용되지 않는 엔드포인트를 정기적으로 검토하고 비활성화합니다.

팀원 및 외부 협력자에 대한 과도한 권한

팀원 및 외부 협력자에게 과도한 권한을 부여하면 무단 액세스, 데이터 유출 및 리소스 남용으로 이어질 수 있습니다. 여러 개인이 다양한 수준의 액세스를 가진 환경에서는 이러한 위험이 증가하여 공격 표면과 내부 위협의 가능성이 높아집니다.

완화 전략

• 최소 권한 원칙: 팀원 및 협력자가 작업을 수행하는 데 필요한 권한만 가지도록 합니다.

액세스 키 및 라이센스 키 보안

액세스 키 및 라이센스 키는 Serverless Framework CLI와의 상호 작용을 인증하고 권한을 부여하는 데 사용되는 중요한 자격 증명입니다.

• 라이센스 키: CLI를 통해 로그인할 수 있도록 하는 Serverless Framework 버전 4에 대한 인증에 필요한 고유 식별자입니다.

• 액세스 키: Serverless Framework Dashboard와 인증하기 위해 Serverless Framework CLI가 사용하는 자격 증명입니다. serverless cli로 로그인할 때 액세스 키가 생성되어 노트북에 저장됩니다. 또한 SERVERLESS_ACCESS_KEY라는 환경 변수로 설정할 수 있습니다.

보안 위험

1. 코드 리포지토리를 통한 노출:

• 액세스 키 및 라이센스 키를 하드코딩하거나 우연히 버전 관리 시스템에 커밋하면 무단 액세스가 발생할 수 있습니다.

1. 안전하지 않은 저장:

• 환경 변수나 구성 파일 내에 평문으로 키를 저장하면 유출 가능성이 높아집니다.

1. 부적절한 배포:

• 안전하지 않은 채널(예: 이메일, 채팅)을 통해 키를 공유하면 악의적인 행위자에게 가로채질 수 있습니다.

1. 회전 부족:

• 키를 정기적으로 회전하지 않으면 키가 손상된 경우 노출 기간이 연장됩니다.

1. 과도한 권한:

• 광범위한 권한을 가진 키는 여러 리소스에서 무단 작업을 수행하는 데 악용될 수 있습니다.