Testowanie Bezpieczeństwa AWS: Praktyczny Przewodnik po Penetration Testing Amazon Web Services

IAM: Klejnoty Koronne

AWS IAM to najpotężniejsza – i najczęściej błędnie konfigurowana – usługa w całym ekosystemie. Testy muszą oceniać polityki IAM pod kątem naruszeń zasady minimalnych uprawnień, identyfikować nieużywane role i klucze dostępu, sprawdzać ścieżki eskalacji uprawnień (łączenie ról, dołączanie polityk, nadużywanie AssumeRole), testować Service Control Policies pod kątem skuteczności egzekwowania i weryfikować, czy dostęp między kontami jest odpowiednio ograniczony. Pojedyncza, zbyt liberalna rola wykonawcza Lambda może dać atakującemu dostęp do każdego bucketu S3, każdej tabeli DynamoDB i każdego sekretu w Secrets Manager. Testowanie IAM to obszar, w którym znajdują się ustalenia o największym wpływie.

S3 i Bezpieczeństwo Przechowywania Danych

Błędy konfiguracji S3 stały za jednymi z największych naruszeń danych w historii. Testy obejmują polityki bucketów i ACL-e pod kątem niezamierzonego publicznego dostępu, szyfrowanie danych w spoczynku po stronie serwera, rejestrowanie i monitorowanie dostępu, wersjonowanie i polityki cyklu życia oraz generowanie wstępnie podpisanych adresów URL dla ograniczonego czasowo dostępu. Domyślne ustawienia Block Public Access z 2023 roku poprawiły podstawowe bezpieczeństwo, ale starsze buckety i jawne nadpisania polityk nadal stwarzają ryzyko.

Lambda i Rozwiązania Bezserwerowe

Funkcje Lambda wprowadzają unikalne wektory ataku: nadmiernie liberalne role wykonawcze, które przyznają więcej dostępu, niż funkcja potrzebuje, zmienne środowiskowe przechowujące sekrety w postaci zwykłego tekstu, wstrzykiwanie zdarzeń poprzez niesanowane dane wejściowe z API Gateway lub wyzwalaczy S3 oraz ataki czasowe typu cold start. Testowanie rozwiązań bezserwerowych wymaga zrozumienia, w jaki sposób można nadużywać architektur opartych na zdarzeniach.

EC2, VPC i Warstwa Sieciowa

Testowanie EC2 ocenia grupy bezpieczeństwa pod kątem zbyt liberalnych reguł wejściowych, konfigurację usługi metadanych instancji (IMDSv1 vs v2), szyfrowanie woluminów EBS i zarządzanie kluczami SSH. Testowanie VPC weryfikuje, czy sieciowe listy ACL i grupy bezpieczeństwa implementują prawidłową segmentację, czy punkty końcowe VPC są skonfigurowane do prywatnego dostępu do usług oraz czy peering VPC nie tworzy niezamierzonych ścieżek między sieciami.

Ścieżki Ataku Między Usługami

Najbardziej wpływowe ustalenia w AWS łączą luki w zabezpieczeniach różnych usług. SSRF w aplikacji internetowej pobiera tymczasowe poświadczenia z usługi metadanych EC2 (IMDSv1). Te poświadczenia należą do nadmiernie liberalnej roli, która może odczytywać sekrety z Secrets Manager. Sekrety zawierają poświadczenia bazy danych dla instancji RDS zawierającej dane klientów. Ten łańcuch – aplikacja internetowa → metadane → IAM → sekrety → baza danych – jest dokładnie tym, czego szukają doświadczeni cloud pentesterzy i czego brakuje zautomatyzowanym skanerom.

Testowanie AWS za pomocą Penetrify

Testowanie bezpieczeństwa AWS przez Penetrify obejmuje analizę polityk IAM, bezpieczeństwo S3/przechowywania danych, konfiguracje Lambda i rozwiązań bezserwerowych, architekturę sieci EC2/VPC oraz walidację ścieżek ataku między usługami. Nasi specjaliści posiadają certyfikaty bezpieczeństwa AWS i rozumieją specyficzne niuanse, które umykają ogólnym pentesterom. Raporty zgodne z wymaganiami są pomocne podczas audytów SOC 2, PCI DSS, HIPAA i ISO 27001.