Ana Karargâh Neler Yapıyoruz?

Dijital Pazarlama

Arama Motoru Optimizasyonu İçerik pazarlama stratejileri Sosyal medya yönetimi ve danışmanlığı E-posta pazarlama kampanyaları Google Ads ve sosyal medya reklamcılığı Dijital gerilla marketing

Web Hizmetleri

E-ticaret siteleri Portfolyo siteleri Kurumsal web siteleri Landing page'ler Özel Web Projeleri Web tabanlı mobil uygulamalar Teknik destek ve geliştirme Hız optimizasyonu ve İyileştirme

Yapay Zeka ve Veri Senkanisazyon

AI İçerik Üretimi Akıllı Chatbot Geliştirme Ai Analitik Hizmetleri Otomatik Veri Sınıflandırma Veri toplama hizmetleri

Barındırma ve Diğerleri

Alan Adı Hizmetleri Barındırma Hizmetleri SSL Hizmetleri E-posta Hizmetleri
Hikayemizin Perde Arkası Beyin Kıvılcımları Bağlantıya Geçin

Serverless Fonksiyonlarda Güvenlik En İyi Uygulamaları

Yazar: Leoliva Yayınlama Tarihi: 21 Ekim 2024

Merhaba değerli okuyucular! Bugün, modern yazılım geliştirmenin önemli bir parçası haline gelen serverless fonksiyonların güvenliği hakkında konuşacağız. Serverless mimarisi, birçok avantaj sunarken beraberinde kendine özgü güvenlik zorluklarını da getiriyor. Bu yazıda, serverless fonksiyonlarınızı nasıl daha güvenli hale getirebileceğinizi detaylı bir şekilde inceleyeceğiz. Hadi başlayalım!

Serverless Nedir?

Serverless, geliştiricilerin sunucu yönetimi ve altyapı endişeleri olmadan kod yazmalarına ve çalıştırmalarına olanak tanıyan bir bulut bilişim modelidir. AWS Lambda, Azure Functions ve Google Cloud Functions gibi platformlar, serverless hizmetleri sunar.

Serverless Güvenlik Zorlukları

  1. Geniş Saldırı Yüzeyi: Her fonksiyon potansiyel bir saldırı noktasıdır.
  2. Kısa Ömürlü Yapı: Fonksiyonların geçici doğası, güvenlik izlemeyi zorlaştırabilir.
  3. Paylaşılan Sorumluluk Modeli: Güvenliğin bir kısmı bulut sağlayıcısına, bir kısmı size aittir.
  4. Fonksiyon Tetikleyicileri: Çeşitli kaynaklardan gelen tetikleyiciler, güvenlik risklerini artırabilir.
  5. Hassas Veri Yönetimi: Geçici yapı, hassas verilerin güvenli bir şekilde yönetilmesini zorlaştırabilir.

Serverless Güvenlik En İyi Uygulamaları

1. En Az Ayrıcalık Prensibini Uygulayın

Her fonksiyona sadece ihtiyaç duyduğu minimum izinleri verin.


// AWS IAM Policy örneği
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::my-bucket/*"
    }
  ]
}

2. Güvenli Kimlik Doğrulama ve Yetkilendirme

API Gateway veya benzer bir servis kullanarak, fonksiyonlarınıza gelen istekleri doğrulayın.


// Node.js ile JWT doğrulama örneği
const jwt = require('jsonwebtoken');

exports.handler = async (event) => {
  try {
    const token = event.headers.Authorization.split(' ')[1];
    const decoded = jwt.verify(token, process.env.JWT_SECRET);
    // İşleme devam et
  } catch (error) {
    return {
      statusCode: 401,
      body: JSON.stringify({ message: 'Unauthorized' })
    };
  }
};

3. Girdileri Doğrulayın ve Temizleyin

Tüm kullanıcı girdilerini doğrulayın ve potansiyel zararlı içeriği temizleyin.


const validator = require('validator');

exports.handler = async (event) => {
  const userInput = JSON.parse(event.body).userInput;
  
  if (!validator.isAlphanumeric(userInput)) {
    return {
      statusCode: 400,
      body: JSON.stringify({ message: 'Invalid input' })
    };
  }
  
  // İşleme devam et
};

4. Hassas Bilgileri Güvenli Bir Şekilde Saklayın

Hassas bilgileri çevresel değişkenler veya güvenli parametre depoları kullanarak saklayın.


// AWS Systems Manager Parameter Store kullanımı
const AWS = require('aws-sdk');
const ssm = new AWS.SSM();

exports.handler = async (event) => {
  const params = {
    Name: '/my-app/db-password',
    WithDecryption: true
  };
  
  const result = await ssm.getParameter(params).promise();
  const dbPassword = result.Parameter.Value;
  
  // Şifreyi kullanarak veritabanına bağlan
};

5. Fonksiyon Yürütme Süresini Sınırlayın

Fonksiyonlarınızın yürütme süresini sınırlayarak, potansiyel DoS saldırılarını önleyin.


// AWS Lambda için timeout ayarı (CloudFormation)
Resources:
  MyLambdaFunction:
    Type: AWS::Lambda::Function
    Properties:
      FunctionName: MyFunction
      Handler: index.handler
      Role: !GetAtt LambdaExecutionRole.Arn
      Code:
        S3Bucket: my-bucket
        S3Key: function.zip
      Runtime: nodejs14.x
      Timeout: 10  # 10 saniye timeout

6. Güvenli Veri İletişimi

Tüm veri iletişimlerinde HTTPS kullanın ve gerektiğinde uçtan uca şifreleme uygulayın.


const https = require('https');

exports.handler = async (event) => {
  return new Promise((resolve, reject) => {
    const options = {
      hostname: 'api.example.com',
      port: 443,
      path: '/data',
      method: 'GET',
      headers: {
        'Content-Type': 'application/json'
      }
    };

    const req = https.request(options, (res) => {
      let data = '';
      res.on('data', (chunk) => {
        data += chunk;
      });
      res.on('end', () => {
        resolve(JSON.parse(data));
      });
    });

    req.on('error', (error) => {
      reject(error);
    });

    req.end();
  });
};

7. Düzenli Güvenlik Güncellemeleri

Fonksiyonlarınızı ve bağımlılıklarını düzenli olarak güncelleyin.


// package.json
{
  "name": "my-serverless-function",
  "version": "1.0.0",
  "dependencies": {
    "aws-sdk": "^2.1001.0",
    "jsonwebtoken": "^8.5.1"
  },
  "scripts": {
    "update": "npm update"
  }
}

8. Loglama ve İzleme

Kapsamlı loglama ve izleme mekanizmaları kurun.


const winston = require('winston');

const logger = winston.createLogger({
  level: 'info',
  format: winston.format.json(),
  defaultMeta: { service: 'user-service' },
  transports: [
    new winston.transports.Console(),
    new winston.transports.File({ filename: '/tmp/error.log', level: 'error' }),
    new winston.transports.File({ filename: '/tmp/combined.log' })
  ]
});

exports.handler = async (event) => {
  logger.info('Function invoked', { event });
  // İşlem mantığı
  logger.info('Function completed');
};

9. Güvenlik Testleri

Düzenli olarak güvenlik testleri ve penetrasyon testleri yapın.


// Jest ile basit bir güvenlik testi örneği
const { handler } = require('./myFunction');

test('function rejects unauthorized requests', async () => {
  const event = {
    headers: {
      Authorization: 'Bearer invalid_token'
    }
  };

  const response = await handler(event);
  expect(response.statusCode).toBe(401);
});

10. Fonksiyon İzolasyonu

Kritik fonksiyonları ayrı ayrı dağıtın ve izole edin.


// AWS SAM template örneği
AWSTemplateFormatVersion: '2010-09-09'
Transform: AWS::Serverless-2016-10-31
Resources:
  CriticalFunction:
    Type: AWS::Serverless::Function
    Properties:
      Handler: index.handler
      Runtime: nodejs14.x
      CodeUri: ./critical-function/
      Environment:
        Variables:
          ISOLATION_LEVEL: HIGH
  NonCriticalFunction:
    Type: AWS::Serverless::Function
    Properties:
      Handler: index.handler
      Runtime: nodejs14.x
      CodeUri: ./non-critical-function/

İleri Düzey Güvenlik Önlemleri

1. Güvenli Secret Rotation

Hassas bilgileri düzenli olarak değiştirin.


// AWS Secrets Manager ile otomatik rotasyon
const AWS = require('aws-sdk');
const secretsManager = new AWS.SecretsManager();

exports.handler = async (event) => {
  const params = {
    SecretId: 'MyDatabaseSecret',
    ClientRequestToken: 'EXAMPLE1-90ab-cdef-fedc-ba987SECRET1'
  };
  
  try {
    await secretsManager.rotateSecret(params).promise();
    console.log('Secret rotated successfully');
  } catch (error) {
    console.error('Error rotating secret:', error);
  }
};

2. Ağ İzolasyonu

Fonksiyonlarınızı VPC içinde çalıştırarak ağ izolasyonu sağlayın.


// AWS CloudFormation ile VPC konfigürasyonu
Resources:
  MyVPC:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 10.0.0.0/16
      EnableDnsHostnames: true
      EnableDnsSupport: true
      InstanceTenancy: default
      Tags:
        - Key: Name
          Value: MyServerlessVPC

  MyFunction:
    Type: AWS::Serverless::Function
    Properties:
      Handler: index.handler
      Runtime: nodejs14.x
      VpcConfig:
        SecurityGroupIds:
          - !Ref MySecurityGroup
        SubnetIds:
          - !Ref MySubnet

3. Fonksiyon Davranış Analizi

Anormal fonksiyon davranışlarını tespit etmek için makine öğrenimi kullanın.


// Python ile basit bir anomali tespit örneği
from sklearn.ensemble import IsolationForest
import numpy as np

# Örnek veri (gerçek senaryoda bu, log verilerinden elde edilir)
X = np.random.rand(100, 2)  # 100 örnek, 2 özellik (örn. çalışma süresi ve bellek kullanımı)

# Isolation Forest modelini eğit
clf = IsolationForest(contamination=0.1, random_state=42)
clf.fit(X)

# Yeni bir fonksiyon çağrısını kontrol et
new_call = np.array([[0.1, 0.1]])  # Örnek yeni çağrı
prediction = clf.predict(new_call)

if prediction[0] == -1:
    print("Anormal fonksiyon davranışı tespit edildi!")
else:
    print("Normal fonksiyon davranışı")

Güvenlik, Serverless'ın Temelidir

Serverless mimarisi, birçok avantaj sunsa da, güvenlik her zaman öncelikli olmalıdır. Bu yazıda bahsedilen en iyi uygulamaları ve ileri düzey teknikleri uygulayarak, serverless fonksiyonlarınızın güvenliğini önemli ölçüde artırabilirsiniz.

Unutmayın ki, güvenlik sürekli bir süreçtir. Teknolojiler ve tehditler sürekli evrim geçirdikçe, güvenlik stratejilerinizi de güncel tutmanız gerekecektir. Düzenli güvenlik değerlendirmeleri, güncellemeler ve en iyi uygulamaların takibi, serverless uygulamalarınızın uzun vadeli güvenliği için kritik öneme sahiptir.

Serverless güvenliği, geleneksel uygulama güvenliğinden farklı düşünmeyi gerektirir. Fonksiyonların kısa ömürlü doğası, dağıtık yapısı ve bulut sağlayıcılarıyla paylaşılan sorumluluk modeli, yeni güvenlik paradigmalarını benimsemeyi zorunlu kılar. Ancak, doğru yaklaşımla serverless, son derece güvenli ve ölçeklenebilir uygulamalar geliştirmek için mükemmel bir platform olabilir.

Umarım bu kapsamlı rehber, serverless fonksiyonlarınızın güvenliğini artırma konusunda size değerli bilgiler sunmuştur. Sorularınız veya eklemek istedikleriniz varsa, yorum bölümünde bekliyorum. Güvenli kodlamalar!

← Önceki Yazı Sonraki Yazı →