Test di Sicurezza Serverless: Lambda, Functions e Cloud Run

Test dei Ruoli di Esecuzione

Ogni funzione serverless viene eseguita con un ruolo IAM che definisce a quali risorse cloud può accedere. Il testing valuta se i ruoli seguono il principio del minimo privilegio, se le funzioni condividono i ruoli (ampliando il raggio d'azione) e se le autorizzazioni del ruolo consentono l'escalation dei privilegi tramite il concatenamento dei servizi.

Event Source Injection

Le funzioni serverless vengono attivate da eventi: richieste API Gateway, caricamenti S3, messaggi SQS, eventi CloudWatch. Ogni origine evento è un potenziale vettore di injection. Il testing valuta la convalida dell'input a livello di origine evento, non solo all'interno del codice della funzione.

Variabili d'Ambiente e Segreti

Le funzioni memorizzano frequentemente la configurazione e i segreti nelle variabili d'ambiente, visibili a chiunque abbia accesso in lettura alla funzione. Il testing verifica la presenza di segreti in chiaro, l'esposizione di configurazioni sensibili e se le funzioni utilizzano una corretta gestione dei segreti (Secrets Manager, Parameter Store, Key Vault) invece delle variabili d'ambiente.

Abuso di Cold Start e Timeout

Le funzioni serverless hanno limiti di tempo di esecuzione e comportamenti di cold start che creano vettori unici di denial-of-service e attacchi a tempo. Il testing valuta i limiti delle risorse, le impostazioni di concorrenza e se i comportamenti di timeout espongono uno stato parziale.

Serverless Testing con Penetrify

Il serverless security testing di Penetrify copre Lambda, Azure Functions e Cloud Functions con l'analisi dei ruoli di esecuzione, il test di Event Source Injection, la valutazione della gestione dei segreti e la valutazione del percorso di attacco cross-service.