Tests de sécurité Cloud IAM : déjouez les attaques par élévation de privilèges.

Pourquoi IAM est le vecteur d'attaque n°1

IAM est le plan de contrôle pour tout dans le cloud. Chaque appel API, chaque accès aux données, chaque interaction de service est autorisé via IAM. Une seule politique mal configurée peut contourner tous les autres contrôles de sécurité que vous avez mis en place. La segmentation du réseau n'a pas d'importance si le rôle IAM accorde un accès inter-VPC. Le chiffrement au repos n'a pas d'importance si la politique IAM autorise le déchiffrement. Le testing IAM est un testing de sécurité du cloud.

Schémas d'escalade de privilèges

Chaque fournisseur a des schémas d'escalade caractéristiques. AWS : iam:PassRole + lambda:CreateFunction pour exécuter du code avec n'importe quel rôle. Azure : Administrateur d'accès utilisateur pour vous attribuer n'importe quel rôle. GCP : iam.serviceAccounts.actAs pour usurper l'identité de n'importe quel compte de service. Le testing doit systématiquement évaluer ces schémas spécifiques à chaque fournisseur.

Testing du cycle de vie des informations d'identification

Les clés d'accès inutilisées, les informations d'identification de compte de service à longue durée de vie, les informations d'identification partagées et les informations d'identification dans les référentiels de code représentent tous un risque IAM. Le testing évalue l'âge des informations d'identification, les politiques de rotation, les schémas d'utilisation et les emplacements de stockage.

Accès inter-comptes et inter-tenants

Les environnements AWS multi-comptes, les tenants Azure multi-abonnements et les organisations GCP multi-projets introduisent des risques d'accès inter-limites. Le testing évalue les relations de confiance, les configurations de délégation et les politiques de ressources qui autorisent l'accès inter-limites.

Testing IAM avec Penetrify

Le testing de sécurité IAM de Penetrify combine l'analyse automatisée des politiques avec le Penetrify Testing manuel de l'escalade de privilèges. Les outils automatisés identifient les politiques trop permissives et les informations d'identification inutilisées. Les testeurs manuels vérifient si les faiblesses identifiées sont réellement exploitables, car une politique qui semble trop permissive peut être contrainte par des SCP, des limites d'autorisation ou des politiques de session que seul le testing manuel peut évaluer.

L'essentiel

Le testing de sécurité IAM est l'activité avec le meilleur retour sur investissement en matière de sécurité du cloud. Une seule découverte peut empêcher la compromission de l'ensemble du compte. L'approche hybride automatisée + manuelle de Penetrify permet de détecter à la fois les mauvaises configurations au niveau des politiques et les chaînes d'exploitation qui les relient.

Foire Aux Questions

Qu'est-ce que le testing de sécurité IAM ?

Le testing de sécurité IAM évalue les configurations de gestion des identités et des accès à la recherche de mauvaises configurations susceptibles de permettre une escalade de privilèges, un accès non autorisé aux données ou un mouvement latéral dans les environnements cloud.

Quelles sont les découvertes IAM les plus critiques ?

Les chemins d'escalade de privilèges - les configurations qui permettent à une identité à faible privilège d'obtenir des privilèges plus élevés par le biais de l'attribution de rôle, de la modification de la politique ou de l'usurpation d'identité de service. Ils représentent le chemin le plus court entre l'accès initial et la compromission totale.