Бессерверная архитектура может быть острой защитой для тех, кто слаб, но только если ты закроешь на замок каждую строчку кода и будешь следить за каждым движением трафика – никаких послаблений, никаких отговорок. Защити их, или они провалятся.

Слушай, сначала убирай все лишние права, как меч рубит тупой клинок – давай коду только то, что ему абсолютно необходимо. Потом каждый чик прогоняй через CI пайплайн, где будут юнит-тесты, статический анализ и сканер безопасности, прежде чем что-то попадет в облако. Используй простой, проверяемый формат типа Terraform или CloudFormation, чтобы состояние было под контролем версий, и чтобы все видели, кто что изменил. Записывай каждый доступ и применяй строгие IAM роли, а логи храни в защищенном от изменений хранилище. И напоследок, перед релизом проведи быструю ручную проверку самых важных функций – если прошло, значит, все под защитой; если нет, значит, ты уже в процессе решения проблемы. Вот такая "кодовая броня" – защищает слабых, но при этом остается легкой.