AWS Security Testing: Praktická príručka pre Penetration Testing v Amazon Web Services

IAM: Klenoty koruny

AWS IAM je najvýkonnejšia – a najčastejšie nesprávne nakonfigurovaná – služba v celom ekosystéme. Testovanie musí vyhodnotiť IAM politiky z hľadiska porušení princípu najnižších privilégií, identifikovať nepoužívané roly a prístupové kľúče, preveriť cesty eskalácie privilégií (reťazenie rolí, pripájanie politík, zneužitie AssumeRole), otestovať politiky riadenia služieb (Service Control Policies) z hľadiska efektívnosti presadzovania a overiť, či je prístup medzi účtami správne obmedzený. Jedna prehnane povoľujúca rola vykonávania Lambda môže útočníkovi poskytnúť prístup ku každému S3 bucketu, každej DynamoDB tabuľke a každému tajomstvu v Secrets Manageri. IAM testovanie je miesto, kde sa nachádzajú nálezy s najväčším dopadom.

S3 a zabezpečenie úložiska

Nesprávne konfigurácie S3 boli príčinou niektorých z najväčších únikov dát v histórii. Testovanie zahŕňa politiky bucketov a ACL z hľadiska nechceného verejného prístupu, šifrovanie na strane servera v pokoji, protokolovanie a monitorovanie prístupu, verzovanie a politiky životného cyklu a generovanie predpísaných URL pre časovo obmedzený prístup. Predvolené nastavenia Block Public Access z roku 2023 zlepšili základné zabezpečenie, ale staršie buckety a explicitné prepísania politík stále vytvárajú riziko.

Lambda a Serverless

Lambda funkcie zavádzajú jedinečné útočné vektory: prehnane povoľujúce roly vykonávania, ktoré udeľujú viac prístupu, ako funkcia potrebuje, premenné prostredia ukladajúce tajomstvá ako čistý text, vkladanie udalostí prostredníctvom neošetreného vstupu z API Gateway alebo S3 spúšťačov a útoky časovaním cold start. Testovanie serverless vyžaduje pochopenie toho, ako sa dá zneužiť architektúra riadená udalosťami.

EC2, VPC a sieťová vrstva

EC2 testovanie vyhodnocuje bezpečnostné skupiny z hľadiska príliš povoľujúcich pravidiel vstupu, konfiguráciu služby metadát inštancií (IMDSv1 vs v2), šifrovanie zväzkov EBS a správu SSH kľúčov. VPC testovanie overuje, či sieťové ACL a bezpečnostné skupiny implementujú správnu segmentáciu, či sú VPC koncové body nakonfigurované pre súkromný prístup k službám a či VPC peering nevytvára nechcené cesty medzi sieťami.

Útočné cesty medzi službami

Najúčinnejšie AWS nálezy reťazia zraniteľnosti medzi službami. SSRF vo webovej aplikácii získava dočasné prihlasovacie údaje zo služby metadát EC2 (IMDSv1). Tieto prihlasovacie údaje patria k prehnane povoľujúcej role, ktorá môže čítať tajomstvá zo Secrets Manager. Tajomstvá zahŕňajú databázové prihlasovacie údaje pre inštanciu RDS obsahujúcu zákaznícke dáta. Tento reťazec – webová aplikácia → metadáta → IAM → tajomstvá → databáza – je presne to, čo kvalifikovaní cloudoví pentesteri hľadajú a čo automatické skenery prehliadajú.

Testovanie AWS s Penetrify

Penetrify testovanie bezpečnosti AWS pokrýva analýzu IAM politík, zabezpečenie S3/úložiska, konfigurácie Lambda a serverless, sieťovú architektúru EC2/VPC a validáciu útočných ciest medzi službami. Praktici majú certifikáty zabezpečenia AWS a rozumejú nuansám špecifickým pre poskytovateľa, ktoré bežní pentesteri prehliadajú. Správy mapované na súlad slúžia audítorom SOC 2, PCI DSS, HIPAA a ISO 27001.