Cloud Penetration Testing: Zabezpečení AWS, Azure a GCP
Tato příručka poskytuje vše, co potřebujete k pochopení, stanovení rozsahu a provedení tohoto typu testování – s praktickými pokyny, které můžete okamžitě uplatnit.
Model sdílené odpovědnosti
Poskytovatelé cloudu zabezpečují platformu. Vy zabezpečujete vše, co na ní vytváříte. Právě tento rozdíl – model sdílené odpovědnosti – je místem, kde vzniká drtivá většina narušení bezpečnosti cloudu. Ne kvůli chybám v infrastruktuře AWS nebo Azure, ale kvůli chybným konfiguracím způsobu, jakým zákazníci tyto služby používají. Příliš benevolentní role IAM, veřejně přístupné úložné prostory, nezabezpečená komunikace mezi službami, hesla uložená v proměnných prostředí v prostém textu – to jsou nálezy, které dominují zprávám o cloudovém Penetration Testing.
IAM: Korunovační klenoty
Identity and Access Management je nejkritičtější – a nejčastěji chybně nakonfigurovaná – vrstva v jakémkoli cloudovém prostředí. Cloudový Penetration Testing musí vyhodnotit, zda zásady IAM dodržují zásady nejnižších oprávnění, zda existují nepoužívané role a pověření, zda cesty k eskalaci oprávnění umožňují ohrožené službě dosáhnout citlivých zdrojů a zda je přístup mezi účty řádně omezen. Jediná příliš benevolentní role spouštění Lambda může útočníkovi umožnit přístup ke všem S3 bucketům ve vašem účtu.
Úložiště a odhalení dat
Počet úniků dat, které lze vysledovat zpět k chybně nakonfigurovaným S3 bucketům, Azure Blob kontejnerům nebo objektům GCP Cloud Storage, je ohromující. Testování musí ověřit, zda jsou oprávnění úložiště správně nastavena, zda je veřejný přístup tam, kde existuje, záměrný, zda je šifrování použito v klidovém stavu i při přenosu a zda protokolování zaznamenává přístup k citlivým objektům.
Konfigurace sítě a služeb
Testování cloudové sítě vyhodnocuje skupiny zabezpečení, síťové ACL, konfigurace VPC, odhalené služby a komunikační cesty mezi cloudovými zdroji. Může útočník dosáhnout interních služeb z veřejného internetu? Jsou rozhraní pro správu (RDP, SSH, admin konzole) řádně omezena? Je provoz east-west mezi službami šifrován a ověřován?
Proč záleží na odbornosti poskytovatele
Cloudový Penetration Testing od Penetrify pokrývá AWS, Azure a GCP s testery, kteří mají cloudově specifické certifikace a rozumí nuancím bezpečnostního modelu každého poskytovatele. Rozdíl mezi pentesterem se znalostí cloudu a generalistou, který se ke cloudu chová jako k jakékoli jiné síti, je rozdíl mezi nalezením řetězce eskalace oprávnění IAM, který vede k úplnému kompromitování účtu, a vyprodukováním zprávy o obecných CVE, které opomíjejí skutečné riziko.
Závěr
Cloudová prostředí jsou složitá, dynamická a neodpouštějí chybné konfigurace. Jejich testování vyžaduje cloudově nativní odbornost – nejen tradiční síťový Penetration Testing aplikovaný na IP adresy, které se náhodou nacházejí v AWS. Penetrify poskytuje tuto odbornost automatizovaným skenováním konfigurace cloudu spárovaným s manuálním testováním IAM, útočných cest mezi službami a cloudově specifické eskalace oprávnění – vše zdokumentováno ve zprávách mapovaných na shodu s předpisy.