Späť na blog
11. apríla 2026

Ako efektívne vykonávať Cloud Penetration Testing

Presunuli ste svoju infraštruktúru do cloudu. Možno to bola postupná migrácia alebo rozsiahly "lift and shift." Na papieri je to skvelé. Máte škálovateľnosť, lepšiu dostupnosť a nemusíte sa obávať zlyhania hardvéru v zaprášenej serverovni. Ale tu je realita: presun do cloudu vás automaticky neurobí bezpečným. V skutočnosti to často len zmení spôsob, akým vás hacknú.

Zabezpečenie cloudu je spoločná zodpovednosť. Amazon, Google alebo Microsoft sa starajú o bezpečnosť cloudu – fyzické dátové centrá a hypervízory. Ale vy ste zodpovední za bezpečnosť v cloude. To znamená vaše konfigurácie, správu identít, šifrovanie dát a kód aplikácie. Jedna nesprávne umiestnená značka začiarknutia v nastavení S3 bucketu alebo uniknutý API kľúč vo verejnom GitHub repozitári môže otvoriť dvere do celého vášho prostredia.

Preto je cloud Penetration Testing odlišný od tradičného testovania siete. Nehľadáte len otvorené porty na firewalle; hľadáte nesprávne konfigurácie identít, príliš povoľujúce IAM roly a zraniteľnosti v serverless funkciách. Ak stále zaobchádzate so svojím cloudovým prostredím ako s virtuálnym dátovým centrom, chýba vám polovica útočnej plochy.

V tejto príručke si prejdeme presne to, ako vykonávať efektívny cloud Penetration Testing. Preberieme metodológiu, nástroje, bežné úskalia a ako premeniť jednorazový test na nepretržitú bezpečnostnú pozíciu. Či už ste bezpečnostný inžinier alebo IT manažér, ktorý sa snaží zistiť, či je vaše nastavenie skutočne odolné, toto je pre vás.

Pochopenie útočnej plochy cloudu

Predtým, ako začnete spúšťať nástroje, musíte pochopiť, čo vlastne testujete. V tradičnom prostredí bol perimeter jasný: firewall bol hranicou. V cloude je perimetrom identita.

Posun od siete k identite

V cloude je systém "Identity and Access Management" (IAM) novým firewallom. Ak útočník ukradne sadu prihlasovacích údajov s AdministratorAccess alebo dokonca slabo definovanú rolu vývojára, nepotrebuje sa "vlámať" cez zraniteľnosť siete. Jednoducho sa prihlási.

Efektívny cloud Penetration Testing sa zameriava silne na Privilege Escalation. Cieľom nie je len získať shell na serveri; je to nájsť spôsob, ako oklamať poskytovateľa cloudu, aby dal útočníkovi viac povolení. Napríklad, môže používateľ s povoleniami "CreateRole" vytvoriť novú rolu s plnými administrátorskými právami a potom ju priradiť sebe? To je klasický cloud-native útočný vektor.

Model zdieľanej zodpovednosti

Nemôžete testovať všetko. Ak sa pokúsite vykonať útok Denial of Service (DoS) proti spravovanej službe AWS, pravdepodobne len dostanete zákaz na svoj účet, pretože útočíte na infraštruktúru poskytovateľa, nie na svoju vlastnú.

Musíte rozlišovať medzi:

  • Infraštruktúrna vrstva: Spravovaná poskytovateľom (AWS, Azure, GCP). Túto vrstvu vo všeobecnosti nemôžete testovať pomocou Penetration Testu.
  • Platformová vrstva: Spravované služby ako RDS, Lambda alebo S3. Testujete konfiguráciu a prístup k nim.
  • Aplikačná vrstva: Kód, ktorý ste napísali a nasadili. Tu stále platí tradičný web app Penetration Testing (OWASP Top 10).

Špecifické cieľové oblasti cloudu

Pri plánovaní testu rozdeľte svoje prostredie do týchto kategórií:

  1. Úložisko: S3 buckets, Azure Blobs, Google Cloud Storage. Sú verejné? Sú povolenia príliš rozsiahle?
  2. Výpočtový výkon: EC2 instances, Kubernetes clusters (EKS/GKE), Lambda functions. Existujú neopravené zraniteľnosti OS alebo uniknuté premenné prostredia?
  3. Identita: IAM users, roles, and policies. Existujú dlhodobé prístupové kľúče? Je MFA zakázané pre privilegovaných používateľov?
  4. Sieť: VPCs, Security Groups, Load Balancers. Je možný "laterálny pohyb" medzi verejne prístupným webovým serverom a súkromnou databázou?

Fáza 1: Prieskum a zhromažďovanie informácií

Prieskum v cloude je o hľadaní "únikov." Pretože cloudové prostredia sú tak integrované s DevOps pipelines, najväčšie zraniteľnosti často začínajú mimo cloudovej konzoly.

OSINT a uniknuté prihlasovacie údaje

Najbežnejší spôsob, ako začínajú narušenia cloudu, je prostredníctvom uniknutých tajomstiev. Útočníci sa vždy "nevlámu"; často len nájdu kľúče.

  • GitHub/GitLab Scraping: Používanie nástrojov ako TruffleHog alebo GitLeaks na vyhľadávanie verejných repozitárov pre AWS Access Keys, Azure Secret Keys alebo databázové heslá.
  • Skenovanie verejných bucketov: Vyhľadávanie otvorených S3 bucketov pomocou kľúčových slov súvisiacich s názvom vašej spoločnosti. Nástroje ako s3scanner môžu pomôcť identifikovať, či sú vaše interné dokumenty náhodou verejné.
  • DNS Enumeration: Nájdenie subdomén, ktoré by mohli smerovať na "dev" alebo "staging" prostredia. Tieto sú často menej bezpečné ako produkčné, ale zdieľajú rovnaké povolenia identity.

Mapovanie cloudovej stopy

Keď máte oporný bod alebo cieľ, musíte zmapovať prostredie. Tu zistíte, aké služby skutočne bežia.

  • Service Discovery: Používate serverless (Lambda)? Kontajnery (ECS/Fargate)? Kombináciu oboch?
  • Identifikácia poskytovateľa: Aj keď je to zvyčajne zrejmé, znalosť presnej verzie API cloudového poskytovateľa alebo konkrétneho regiónu môže pomôcť pri prispôsobovaní útokov.
  • Verejne exponované koncové body: Identifikujte každý API Gateway, Load Balancer a verejnú IP adresu. Toto vytvorí vašu počiatočnú "útočnú mapu."

Prístup "zvonka dovnútra"

Začnite napodobňovaním externého útočníka. Nepredpokladajte, že nemajú žiadne prihlasovacie údaje. Predpokladajte, že našli kľúč vývojára na fóre alebo vo verejnom repozitári. Táto mentalita "predpokladaného narušenia" je oveľa efektívnejšia ako začínať od nuly, pretože testuje vaše schopnosti detekcie a reakcie, a nielen váš perimeter.

Fáza 2: Analýza zraniteľností a kontrola konfigurácie

Teraz, keď viete, čo tam vonku je, musíte nájsť diery. V cloude je "zraniteľnosť" zriedka chyba v softvéri a častejšie chyba v konfigurácii.

Auditovanie IAM politík

Toto je jadro cloudového Penetration Testing. Hľadáte "Overprivileged Identities".

  • Wildcard Permissions: Hľadajte politiky, ktoré používajú Resource: "*" alebo Action: "s3:*". Ak používateľ potrebuje nahrávať súbory iba do jedného priečinka, nemal by mať prístup ku každému bucketu v účte.
  • Trust Relationships: Skontrolujte, kto má povolené preberať ktoré roly. Ak vývojárska rola môže prebrať produkčnú rolu správcu bez MFA, máte kritickú zraniteľnosť.
  • Long-Lived Keys: Identifikujte používateľov s prístupovými kľúčmi, ktoré neboli otočené za 90+ dní. Sú to hlavné ciele krádeže.

Nesprávne nakonfigurované úložiská a databázy

Je to klišé z dobrého dôvodu: ľudia nechávajú buckety otvorené.

  • Public Read/Write: Môžete nahrať súbor do S3 bucketu bez autentifikácie? Môžete čítať citlivé konfiguračné súbory?
  • Unencrypted Data: Skontrolujte, či sú citlivé dáta v pokoji šifrované. Aj keď to nie je priamy "vstupný bod", je to zásadné zlyhanie súladu (GDPR/HIPAA) a robí exfiltráciu dát oveľa škodlivejšou.
  • Database Exposure: Uistite sa, že inštancie RDS alebo CosmosDB nemajú priradené verejné IP adresy. Vždy by mali byť v súkromnej podsieti.

Serverless a Container Vulnerabilities

Moderné cloudové aplikácie sa spoliehajú na Lambda, Azure Functions a Kubernetes. Tie prinášajú nové riziká.

  • Environment Variables: Vývojári často umiestňujú API kľúče alebo heslá DB do premenných prostredia Lambda. Ak útočník získa práva na vykonávanie (prostredníctvom code injection), môže jednoducho spustiť env a ukradnúť všetko.
  • Container Escape: V Kubernetes, ak pod beží ako "privileged", útočník, ktorý kompromituje pod, môže byť schopný uniknúť na hostiteľský uzol a získať prístup k základnej cloudovej službe metadát.
  • Cold Start Attacking: Skúmanie spôsobu, akým sa spravuje stav medzi volaniami funkcií, s cieľom nájsť potenciálne úniky dát medzi rôznymi používateľmi.

Fáza 3: Exploatácia a laterálny pohyb

Tu dokazujete riziko. Nájdenie "misconfiguration" v správe je jedna vec; ukázať, že môžete ukradnúť zákaznícku databázu, je druhá.

Útok na Metadata Service (IMDS)

Jedným z najvýkonnejších nástrojov v arzenáli cloudového pen-testera je Instance Metadata Service. Ak nájdete Server-Side Request Forgery (SSRF) zraniteľnosť vo webovej aplikácii bežiacej na inštancii EC2, môžete sa dotazovať na http://169.254.169.254/latest/meta-data/iam/security-credentials/[role-name].

Toto vráti dočasné bezpečnostné poverenia pre rolu pripojenú k inštancii. Potom môžete tieto kľúče nakonfigurovať na svojom lokálnom počítači a konať ako tento server. Takto sa v skutočnosti deje väčšina rozsiahlych cloudových narušení.

Privilege Escalation Paths

Keď máte nízku úroveň poverení, cieľom je stať sa správcom. Medzi bežné cesty patria:

  • iam:CreateAccessKey: Ak môžete vytvoriť nový prístupový kľúč pre iného používateľa (napríklad správcu), vyhrali ste.
  • iam:PassRole: Ak môžete odovzdať rolu s vysokými privilégiámi novej inštancii EC2 a potom sa do tejto inštancie prihlásiť, eskalovali ste.
  • lambda:UpdateFunctionCode: Ak môžete zmeniť kód funkcie Lambda, ktorá je spustená správcom, môžete ju prinútiť, aby odoslala tokeny relácie správcu na váš vlastný server.

Laterálny pohyb medzi účtami

Veľké spoločnosti používajú viacero cloudových účtov (Dev, Stage, Prod).

  • Cross-Account Roles: Skontrolujte, či má účet Dev rolu, ktorá mu umožňuje prístup k účtu Prod.
  • Shared Credentials: Často sa rovnaký SSH kľúč alebo API kľúč používa v rôznych prostrediach. Nájdite ho v Dev, použite ho v Prod.
  • VPC Peering: Ak sú dve VPC prepojené, môžete sa presunúť z kompromitovaného webového servera v jednej VPC do databázy v inej?

Fáza 4: Post-Exploatácia a exfiltrácia

Cieľom profesionálneho Penetration Test nie je len "dostať sa dnu", ale ukázať, čo by útočník mohol skutočne ukradnúť alebo zničiť.

Techniky exfiltrácie dát

Ako by útočník dostal dáta von bez spustenia alarmov?

  • Snapshot Sharing: Namiesto sťahovania 1TB databázy (čo spustí sieťové upozornenia) môže útočník vytvoriť snímku zväzku EBS a zdieľať ju s externým AWS účtom, ktorý kontroluje.
  • S3 Sync: Použitie aws s3 sync na zrkadlenie bucketu do externého umiestnenia.
  • DNS Tunneling: Odosielanie malých kúskov dát prostredníctvom DNS dotazov, aby sa predišlo detekcii štandardnými firewallmi.

Mechanizmy perzistencie

Ako útočník zostane v systéme aj po otočení hesla?

  • Creating Backdoor Users: Pridanie nového používateľa IAM s vágny názvom, ako napríklad cloud-support-service.
  • Modifying Trust Policies: Pridanie ID externého účtu do vzťahu dôvery, aby mohol preberať rolu, kedykoľvek chce.
  • Scheduling Tasks: Vytvorenie úlohy Cron alebo udalosti CloudWatch, ktorá znova vytvorí prístupový kľúč každých 24 hodín.

Posúdenie dopadu

V tejto fáze zdokumentujete presne to, k čomu sa pristupovalo.

  • Mohli by ste získať prístup k PII (osobne identifikovateľným informáciám)?
  • Mohli by ste odstaviť celé produkčné prostredie?
  • Mohli by ste upraviť zdrojový kód aplikácie v procese nasadzovania?

Porovnanie tradičného Pen-Testingu vs. Cloud Pen-Testingu

Je bežné, že si tímy myslia, že môžu jednoducho použiť svoj starý kontrolný zoznam pre Pen-Testing pre cloud. To je chyba. Tu je dôvod.

Funkcia Tradičný Pen-Testing Cloud Pen-Testing
Primárny cieľ Prelomiť perimeter/sieť Prelomiť identitu (IAM)
Vstupný bod Otvorené porty, neopravený softvér Uniknuté kľúče, SSRF, nesprávne konfigurácie
Pohyb Sieťové pivotovanie (SSH, SMB) API hovory, prevzatie roly
Perzistencia Rootkity, Web shelly IAM zadné vrátka, Shadow Admins
Nástroje Nmap, Metasploit, Burp Suite Pacu, ScoutSuite, CloudEnum
Rozsah Fyzické/Virtuálne servery Spravované služby & Serverless

Tradičné testovanie je o "rozbíjaní" vecí. Cloudové testovanie je viac o "zneužívaní" vecí. Nebojujete s firewallom; bojujete s komplexnou sadou povolení.

Bežné chyby v Cloud Pen-Testingu

Dokonca aj skúsení bezpečnostní profesionáli sa potknú, keď prejdú do cloudu. Vyhnite sa týmto bežným nástrahám.

1. Zabúdanie na "ľudský" element (CI/CD)

Mnoho testerov sa zameriava iba na bežiace prostredie. Cloud je však nasadený prostredníctvom kódu (Terraform, CloudFormation, Jenkins). Ak má skript Terraform natvrdo zakódované heslo, "zabezpečené" prostredie, ktoré vytvára, je v skutočnosti ohrozené od druhej, keď je nasadené. Vždy zahrňte CI/CD pipeline do svojho rozsahu.

2. Nadmerné spoliehanie sa na automatizované skenery

Automatizované nástroje sú skvelé na nájdenie otvoreného S3 bucketu, ale sú hrozné pri hľadaní komplexných IAM eskalácií. Skener vám môže povedať, že používateľ má iam:PutUserPolicy, ale nemusí nevyhnutne vysvetliť, že to umožňuje používateľovi udeliť si AdministratorAccess. Manuálna analýza logiky politiky je miesto, kde je skutočná hodnota.

3. Ignorovanie "tichých" služieb

Každý testuje EC2 inštancie a S3 buckety. Málokto testuje Glue jobs, SQS queues alebo Secret Manager. Útočníci milujú tieto "tiché" služby, pretože ich bezpečnostné tímy často prehliadajú a zvyčajne majú príliš povoľujúce roly.

4. Zlyhanie pri testovaní "blast radius"

Bežnou chybou je zastavenie po prvom úspešnom exploite. "Dostal som sa do vývojového servera, takže systém je zraniteľný." Nie. Skutočná otázka je: "Keď som vo vývojovom serveri, môžem sa dostať do produkčnej databázy?" Testovanie limitov vašej segmentácie (blast radius) je to, čo poskytuje skutočnú obchodnú hodnotu.

5. Testovanie bez "Cloud-Aware" právnej dohody

Testovanie v cloude môže byť riskantné. Ak náhodou spustíte bezpečnostný alarm v AWS alebo Azure, môžu vám pozastaviť účet. Vždy sa uistite, že pracujete v rámci politiky "Permitted Services" poskytovateľa a že máte jasný písomný súhlas od vlastníka účtu.

Podrobný návod: Simulácia cloudového útoku

Aby sme to konkretizovali, prejdime si hypotetický scenár.

Cieľ: Stredne veľká spoločnosť zaoberajúca sa elektronickým obchodom, ktorá používa AWS. Cieľ: Získanie prístupu k zákazníckej databáze.

Krok 1: Zisťovanie

Tester začína s OSINT. Nájdu verejné úložisko GitHub patriace jednému z vývojárov spoločnosti. V commite spred šiestich mesiacov je súbor .env obsahujúci AWS_ACCESS_KEY_ID a AWS_SECRET_ACCESS_KEY.

Krok 2: Počiatočný prístup

Tester nakonfiguruje tieto kľúče lokálne. Spustia aws sts get-caller-identity a zistia, že kľúče patria používateľovi s názvom dev-automation-user. Skontrolujú povolenia a uvedomia si, že používateľ má veľmi obmedzený prístup – väčšinou iba čítanie z niekoľkých S3 bucketov.

Krok 3: Nájdenie pivotu

Tester vypíše S3 buckety a nájde jeden s názvom company-deployment-scripts. Vnútri nájdu skript použitý na nasadenie funkcie Lambda. Skript obsahuje natvrdo zakódovaný odkaz na rolu: lambda-executor-role.

Krok 4: Exploatácia (SSRF)

Tester nájde verejne prístupnú funkciu "Image Upload" na webovej stránke spoločnosti. Manipuláciou s URL adresou objavia zraniteľnosť Server-Side Request Forgery (SSRF). Používajú to na dotazovanie služby EC2 metadata: http://169.254.169.254/latest/meta-data/iam/security-credentials/web-server-role.

Krok 5: Eskalácia

Teraz majú kľúče pre web-server-role. Skontrolujú povolenia a zistia, že táto rola má povolenie iam:PassRole. Používajú to na vytvorenie novej, malej funkcie Lambda, priradia k nej lambda-executor-role (ktorú videli v S3 buckete) a napíšu jednoduchý skript na vypísanie všetkých tajomstiev v AWS Secrets Manager.

Krok 6: Konečný cieľ

Funkcia Lambda vráti heslo databázy. Tester znova použije zraniteľnosť SSRF na tunelovanie do súkromného VPC a pripojenie k databáze pomocou ukradnutého hesla.

Výsledok: Kompletné narušenie dát. Ponaučenie: K narušeniu nedošlo kvôli "hacku" v tradičnom zmysle. Stalo sa to kvôli uniknutému kľúču, slabo zabezpečenému S3 bucketu, chybe SSRF a prehnane privilegovanej IAM role.

Ako vybudovať program nepretržitého testovania

Jednorazový Penetration Test je len momentka. V cloudovom prostredí, kde vývojári nahrávajú kód desaťkrát denne, je táto momentka v utorok už zastaraná. Potrebujete nepretržitý prístup.

Implementácia "Security as Code"

Najlepší spôsob, ako predísť zraniteľnostiam v cloude, je zachytiť ich predtým, ako sú nasadené.

  • Infrastructure as Code (IaC) Scanning: Používajte nástroje ako Checkov alebo Tfsec na skenovanie šablón Terraform/CloudFormation. Ak šablóna definuje verejný S3 bucket, zostava by mala automaticky zlyhať.
  • Policy as Code: Používajte Open Policy Agent (OPA) alebo AWS Config na presadzovanie pravidiel v reálnom čase. Napríklad pravidlo, ktoré hovorí: "Žiadny IAM používateľ nesmie mať AdministratorAccess bez MFA."

Automatizácia "Ľahko Dostupných Cieľov"

Nepotrebujete človeka, aby vám povedal, že bucket je verejný. Používajte automatizované nástroje Cloud Security Posture Management (CSPM) na monitorovanie vášho prostredia 24 hodín denne, 7 dní v týždni. Tieto nástroje poskytujú základnú úroveň zabezpečenia a upozornia vás v momente, keď sa konfigurácia zmení.

Plánované Red Teaming

Zatiaľ čo automatizácia rieši základy, stále potrebujete ľudí na nájdenie komplexných logických chýb a eskalácií. Naplánujte si "hlboké ponory" Penetration Testy každý štvrťrok alebo po každej významnej architektonickej zmene.

Integrácia s vašim pracovným postupom

Najväčším zlyhaním v oblasti bezpečnosti je správa, ktorá tri mesiace leží v PDF súbore. Výsledky vášho Penetration Testingu by mali priamo smerovať do Jira alebo GitHub Issues vášho inžinierskeho tímu. Bezpečnosť je funkcia, nie samostatný projekt.

Ako Penetrify zjednodušuje cloudovú bezpečnosť

Manuálne vykonávanie všetkého vyššie uvedeného je vyčerpávajúce. Vyžaduje si to obrovské množstvo špecializovaných znalostí a sadu drahých nástrojov. Presne preto sme vytvorili Penetrify.

Penetrify je cloudová natívna platforma kybernetickej bezpečnosti navrhnutá tak, aby odstránila dohady z hodnotenia bezpečnosti. Namiesto toho, aby ste sa snažili poskladať dvadsať rôznych open-source nástrojov, Penetrify poskytuje jednotné prostredie na identifikáciu, hodnotenie a nápravu zraniteľností.

Tu je návod, ako vám Penetrify pomôže implementovať všetko, o čom sme hovorili:

  • Eliminujte infraštruktúrne bariéry: Nemusíte nastavovať "attack boxes" alebo zložité VPN. Cloudová natívna architektúra Penetrify vám umožňuje spúšťať hodnotenia na požiadanie.
  • Automatizované skenovanie zraniteľností: Postaráme sa o "ľahko dostupné ciele." Penetrify automaticky skenuje nesprávne konfigurácie, otvorené buckety a bežné cloudové chyby, aby sa vaši ľudskí testeri mohli sústrediť na ťažké veci – ako je eskalácia privilégií.
  • Bezproblémová integrácia: Neveríme na statické PDF správy. Penetrify sa integruje s vašimi existujúcimi bezpečnostnými pracovnými postupmi a systémami SIEM, pričom výsledky smeruje priamo do vášho kanála nápravy.
  • Škálovateľnosť pre rastúce tímy: Či už ste spoločnosť strednej veľkosti alebo veľký podnik, Penetrify sa s vami škáluje. Môžete testovať viacero prostredí a systémov súčasne bez toho, aby ste museli najať rozsiahly interný bezpečnostný personál.
  • Nepretržité monitorovanie: Posuňte sa za mentalitu "momentky." Penetrify vám pomáha udržiavať silnú úroveň zabezpečenia tým, že poskytuje nepretržitý prehľad o vašej cloudovej odolnosti.

Kombináciou automatizovaného skenovania s manuálnymi možnosťami Penetration Testingu Penetrify zaisťuje, že len "neodškrtávate políčko" pre dodržiavanie predpisov, ale skutočne spevňujete svoju infraštruktúru proti útokom v reálnom svete.

Kontrolný zoznam pre váš ďalší cloudový Pen-Test

Ak plánujete test zajtra, použite tento kontrolný zoznam, aby ste sa uistili, že ste pokryli to najdôležitejšie.

$\square$ Rozsah a právne záležitosti

  • Písomné povolenie od vlastníka aktív.
  • Overenie zásad Penetration Testingu poskytovateľa cloudu (napr. "Povolené služby" AWS).
  • Definované ciele "Mimo rozsahu" (aby sa predišlo zlyhaniu produkcie).

$\square$ Prieskum

  • Skenovanie verejného GitHub/GitLab na únik kľúčov.
  • Vymenovanie všetkých verejných DNS záznamov a subdomén.
  • Identifikácia všetkých verejne prístupných API endpointov a Load Balancerov.

$\square$ Identita a prístup (IAM)

  • Kontrola zástupných znakov (*) v povoleniach v zásadách.
  • Audit vzťahov dôvery pre prístup medzi účtami.
  • Identifikácia používateľov bez MFA na privilegovaných účtoch.
  • Testovanie bežných ciest eskalácie privilégií (napr. iam:PassRole).

$\square$ Infraštruktúra a úložisko

  • Overenie, či sú všetky S3/Blob úložné buckety súkromné.
  • Kontrola nešifrovaných citlivých údajov v pokoji.
  • Zabezpečenie, aby boli databázy v súkromných podsietiach bez verejných IP adries.
  • Testovanie zraniteľností SSRF zameraných na službu Metadata Service (IMDS).

$\square$ Výpočty a kontajnery

  • Kontrola premenných prostredia Lambda na prítomnosť tajných kľúčov.
  • Skenovanie obrázkov kontajnerov na známe zraniteľnosti.
  • Pokus o únik z kontajnera v Kubernetes padoch.
  • Kontrola VPC peeringu a pravidiel bezpečnostnej skupiny pre laterálny pohyb.

$\square$ Post-Exploitation a Reporting

  • Pokus o exfiltráciu dát prostredníctvom snímok alebo synchronizácie.
  • Kontrola mechanizmov perzistencie (backdoor IAM používatelia).
  • Dokumentovaný "Blast Radius" každého úspešného exploitu.
  • Poskytnuté jasné, realizovateľné kroky nápravy pre každé zistenie.

Často Kladené Otázky

Musím upozorniť AWS, Azure alebo GCP predtým, ako začnem s Penetration Testing?

V minulosti ste museli odoslať formulár žiadosti takmer na všetko. V súčasnosti má väčšina hlavných poskytovateľov zoznam "Permitted Services". Pokiaľ testujete svoje vlastné zdroje a nevykonávate útoky typu DoS alebo neútočíte na základnú infraštruktúru poskytovateľa, vo všeobecnosti nepotrebujete formálnu žiadosť. Vždy si však preverte najnovšie zásady pre svojho konkrétneho poskytovateľa cloudu, aby ste predišli označeniu svojho účtu.

Ako často by som mal vykonávať cloudový Penetration Testing?

Pretože sa cloudové prostredia tak rýchlo menia, ročný test nestačí. Lepší prístup je hybridný model:

  1. Continuous Scanning: Používajte nástroj ako Penetrify denne na zisťovanie nesprávnych konfigurácií.
  2. Quarterly Deep-Dives: Vykonávajte manuálne Penetration Testy každé 3 mesiace.
  3. Event-Driven Testing: Spustite cielený test vždy, keď vykonáte zásadnú zmenu vo svojich IAM rolách alebo migrujete základnú službu.

Aký je rozdiel medzi Vulnerability Scan a Pen-Testom?

Vulnerability Scan je ako domáci bezpečnostný systém, ktorý vám povie, že predné dvere sú odomknuté. Nájde známu chybu a nahlási ju. Penetration Test je ako profesionálny zlodej, ktorý vidí odomknuté dvere, vojde dnu, nájde kľúč od trezoru v kuchyni a potom ukradne šperky. Jeden nájde dieru; druhý dokazuje, koľko škody sa dá cez túto dieru spôsobiť.

Nemôžem namiesto Penetrácie Testing použiť nástroj CSPM?

Nástroje CSPM (Cloud Security Posture Management) sú skvelé na hľadanie "známych zlých" konfigurácií (napr. "Tento bucket je verejný"). Ale nemôžu nájsť "logické" chyby. Napríklad, CSPM vám nepovie, že kombinácia troch rôznych rolí s nízkymi oprávneniami umožňuje používateľovi nakoniec sa stať správcom. To si vyžaduje kreatívne, nepriateľské myslenie ľudského pen-testera.

Mám robiť "White Box" alebo "Black Box" testovanie?

Pre cloudové prostredia takmer vždy odporúčam "Gray Box" alebo "White Box" testovanie. Black box testovanie (nulové znalosti) trávi príliš veľa času fázou "hádať". Ak dáte testerovi zoznam svojich aktív a IAM používateľa s nízkou úrovňou oprávnení, môžu stráviť svoj čas hľadaním hlbokých, štrukturálnych chýb, ktoré skutočne záležia, namiesto toho, aby strávili tri dni pokusmi o nájdenie IP adresy vášho vývojového servera.

Záverečné Myšlienky: Bezpečnosť je Proces, Nie Projekt

Ak si z tejto príručky odnesiete jednu vec, nech je to táto: Cloudová bezpečnosť je pohyblivý cieľ.

V momente, keď dokončíte Penetration Test a opravíte zraniteľnosti, vývojár nahrá novú aktualizáciu, aktivuje sa nová cloudová služba alebo sa objaví nový Zero Day. Nemôžete "vyriešiť" bezpečnosť; môžete len riadiť riziko.

Cieľom efektívneho cloudového Penetration Testingu nie je dosiahnuť stav "dokonalej bezpečnosti" (ktorý neexistuje). Cieľom je vybudovať systém, ktorý je odolný—kde jedna chyba v konfiguračnom súbore nevedie k úniku dát, ktorý sa dostane na titulné stránky.

Zameraním sa na identitu, obmedzením vášho Blast Radius a posunom smerom k modelu nepretržitého testovania sa dostanete pred väčšinu útočníkov. A ak chcete prestať spravovať tucet rôznych bezpečnostných nástrojov a začať získavať jasný obraz o svojom riziku, pozrite si Penetrify. Vybudovali sme platformu na zvládnutie náročných úloh cloudových hodnotení, aby ste sa mohli sústrediť na bezpečné budovanie svojho podnikania.

Prestaňte hádať, či ste v bezpečí. Začnite to testovať.

Späť na blog