Späť na blog
9. marca 2026

AWS Security Testing: Praktická príručka pre Penetration Testing v Amazon Web Services

Viktor Bulanek
Founder & CTO, Penetrify
MSc IT Security · 20+ years in security · 4x Ex-CTO

IAM: Klenoty koruny

AWS IAM je najvýkonnejšia – a najčastejšie nesprávne nakonfigurovaná – služba v celom ekosystéme. Testovanie musí vyhodnotiť IAM politiky z hľadiska porušení princípu najnižších privilégií, identifikovať nepoužívané roly a prístupové kľúče, preveriť cesty eskalácie privilégií (reťazenie rolí, pripájanie politík, zneužitie AssumeRole), otestovať politiky riadenia služieb (Service Control Policies) z hľadiska efektívnosti presadzovania a overiť, či je prístup medzi účtami správne obmedzený. Jedna prehnane povoľujúca rola vykonávania Lambda môže útočníkovi poskytnúť prístup ku každému S3 bucketu, každej DynamoDB tabuľke a každému tajomstvu v Secrets Manageri. IAM testovanie je miesto, kde sa nachádzajú nálezy s najväčším dopadom.

S3 a zabezpečenie úložiska

Nesprávne konfigurácie S3 boli príčinou niektorých z najväčších únikov dát v histórii. Testovanie zahŕňa politiky bucketov a ACL z hľadiska nechceného verejného prístupu, šifrovanie na strane servera v pokoji, protokolovanie a monitorovanie prístupu, verzovanie a politiky životného cyklu a generovanie predpísaných URL pre časovo obmedzený prístup. Predvolené nastavenia Block Public Access z roku 2023 zlepšili základné zabezpečenie, ale staršie buckety a explicitné prepísania politík stále vytvárajú riziko.

Lambda a Serverless

Lambda funkcie zavádzajú jedinečné útočné vektory: prehnane povoľujúce roly vykonávania, ktoré udeľujú viac prístupu, ako funkcia potrebuje, premenné prostredia ukladajúce tajomstvá ako čistý text, vkladanie udalostí prostredníctvom neošetreného vstupu z API Gateway alebo S3 spúšťačov a útoky časovaním cold start. Testovanie serverless vyžaduje pochopenie toho, ako sa dá zneužiť architektúra riadená udalosťami.

EC2, VPC a sieťová vrstva

EC2 testovanie vyhodnocuje bezpečnostné skupiny z hľadiska príliš povoľujúcich pravidiel vstupu, konfiguráciu služby metadát inštancií (IMDSv1 vs v2), šifrovanie zväzkov EBS a správu SSH kľúčov. VPC testovanie overuje, či sieťové ACL a bezpečnostné skupiny implementujú správnu segmentáciu, či sú VPC koncové body nakonfigurované pre súkromný prístup k službám a či VPC peering nevytvára nechcené cesty medzi sieťami.

Útočné cesty medzi službami

Najúčinnejšie AWS nálezy reťazia zraniteľnosti medzi službami. SSRF vo webovej aplikácii získava dočasné prihlasovacie údaje zo služby metadát EC2 (IMDSv1). Tieto prihlasovacie údaje patria k prehnane povoľujúcej role, ktorá môže čítať tajomstvá zo Secrets Manager. Tajomstvá zahŕňajú databázové prihlasovacie údaje pre inštanciu RDS obsahujúcu zákaznícke dáta. Tento reťazec – webová aplikácia → metadáta → IAM → tajomstvá → databáza – je presne to, čo kvalifikovaní cloudoví pentesteri hľadajú a čo automatické skenery prehliadajú.

Testovanie AWS s Penetrify

Penetrify testovanie bezpečnosti AWS pokrýva analýzu IAM politík, zabezpečenie S3/úložiska, konfigurácie Lambda a serverless, sieťovú architektúru EC2/VPC a validáciu útočných ciest medzi službami. Praktici majú certifikáty zabezpečenia AWS a rozumejú nuansám špecifickým pre poskytovateľa, ktoré bežní pentesteri prehliadajú. Správy mapované na súlad slúžia audítorom SOC 2, PCI DSS, HIPAA a ISO 27001.

Záver

Testovanie zabezpečenia AWS vyžaduje odborné znalosti špecifické pre poskytovateľa – nie generické sieťové pentesting aplikované na cloudové IP adresy. Penetrify poskytuje hlboké odborné znalosti AWS s hybridným automatizovaným + manuálnym testovaním, ktoré nachádza reťazce eskalácie IAM, útočné cesty medzi službami a slabiny konfigurácie, ktoré určujú vaše skutočné cloudové riziko.

Často kladené otázky

Čo by som mal testovať v AWS?Minimálne: IAM politiky a roly, konfigurácie S3 bucketov, bezpečnostné skupiny a VPC pravidlá, roly vykonávania Lambda, konfigurácie inštancií EC2 (vrátane presadzovania IMDSv2) a útočné cesty medzi službami. Rozsah by mal pokrývať všetky účty a regióny s produkčnou záťažou. Je AWS pentesting povolený bez upozornenia?Áno. AWS aktualizovala svoju politiku prijateľného používania v roku 2022 – už nemusíte žiadať o povolenie ani upozorňovať AWS pred pentestingom vlastných zdrojov. Niektoré služby (DNS zone walking, DDoS simulácia) majú stále obmedzenia.

Frequently Asked Questions

Aké typy zraniteľností Penetrify detekuje?

Penetrify detekuje všetky kategórie zraniteľností OWASP Top 10 vrátane SQL injection, XSS, CSRF, IDOR, nefunkčnej autentifikácie, bezpečnostných miskonfigurácií a úniku citlivých dát. Testuje tiež bezpečnosť API, správu relácií a bežné miskonfigurácie v Supabase, Firebase a Bubble.

Ako dlho trvá AI penetračný test?

Rýchle skenovanie je dokončené za 15–30 minút. Štandardné skenovanie trvá 1–2 hodiny s širším pokrytím. Hĺbkové skenovanie môže trvať niekoľko hodín pre zložité aplikácie.

Čo obsahuje správa Penetrify?

Každá správa obsahuje executive summary, celkové bezpečnostné skóre, nálezy klasifikované podľa závažnosti (Kritické, Vysoké, Stredné, Nízke), podrobné kroky pre reprodukciu a konkrétne odporúčania pre nápravu napísané pre vývojárov – nie pre špecialistov na súlad.

Related articles

Cloud IAM Security Testing: Odhaľte eskaláciu privilégií skôr, než to urobia útočníci
Nesprávne konfigurácie IAM sú útočným vektorom číslo 1 v cloude. Ukážeme vám, ako systematicky testovať politiky, roly a prihlasovacie údaje IAM v rámci AWS, Azure a GCP.
Serverless Security Testing: Lambda, Functions a Cloud Run – zabezpečenie bez serverov
Serverless presúva zodpovednosť za bezpečnosť na konfiguráciu, IAM a logiku riadenú udalosťami. Ukážeme vám, ako testovať funkcie na zraniteľnosti, ktoré skenery nedokážu odhaliť, a zabezpečiť tak robustnejšiu ochranu.
Hodnotenie zraniteľností webových aplikácií: OWASP Top 10 a ešte viac
Webové aplikácie sú cieľom útokov číslo 1. Zistite, ako ich systematicky posúdiť a odhaliť zraniteľnosti, ktoré vedú k narušeniu bezpečnosti. To vám pomôže zlepšiť vašu stratégiu kybernetickej bezpečnosti a implementovať efektívne riešenia, ako je Penetration Testing, integrácia princípov DevSecOps a dodržiavanie štandardov OWASP v rámci vášho CI/CD pipeline.

Explore more