Taller: Consideraciones de Seguridad en Arquitecturas Serverless

El pasado sbado 26 de octubre de 2024 se realiz la HBSCONF, en la que fui invitado a impartir un taller. El ttulo del taller fue Consideraciones de Seguridad en Arquitecturas Serverless.

En este blog realizar un resumen de la presentacin, enlaces y datos para que sirva como memoria a los asistentes y gua a quienes no pudieron asistir.

Qu es Serverless?

En este blog, en el que colabor con un amigo, he relatado una introduccin al concepto de Serverless realizando un anlisis de dnde procede el trmino y cmo evoluciona. El trmino aparece en internet por primera vez en el rango de aos del 2000-2013.

Sin embargo, fue con la llegada del Cloud, y ms precisamente en el 2014, con la aparicin de Lambda como servicio en el Reinvent, que el concepto de serverless se populariz en el mundo de desarrollo de aplicaciones en el Cloud.

Luego, coment la visin que tienen los distintos Cloud Provider (AWS, Google, Azure) sobre la tecnologa serverless.

AWS Serverless: https://aws.amazon.com/es/serverless/

Google Serverless: https://cloud.google.com/serverless

Azure Serverless: https://azure.microsoft.com/es-es/products/functions/

Serverless en AWS

Durante el taller me centr especficamente en los servicios Serverless ofrecidos por AWS. Dejo aqu un enlace a la documentacin de AWS con los servicios que ellos consideran Serverless:

https://docs.aws.amazon.com/serverless/latest/devguide/serverless-core-services.html

Modelo de responsabilidad Compartida

Coment el modelo de responsabilidad compartida que propone AWS, https://aws.amazon.com/es/compliance/shared-responsibility-model/ un modelo el cual explica las responsabilidades de cada uno de los actores en el Cloud desde su perspectiva y en el mbito de la seguridad.

OWASP Serverless

Para hablar especficamente de seguridad en Serverless seguimos el informe del 2017 de OWASP sobre las diez vulnerabilidades ms importantes: https://owasp.org/www-project-serverless-top-10/