Cloud Penetration Testing: Zabezpečenie AWS, Azure a GCP

Táto príručka poskytuje všetko, čo potrebujete na pochopenie, definovanie rozsahu a realizáciu tohto typu testovania – s praktickými radami, ktoré môžete okamžite použiť.

Model zdieľanej zodpovednosti

Poskytovatelia cloudu zabezpečujú platformu. Vy zabezpečujete všetko, čo na nej budujete. Tento rozdiel – model zdieľanej zodpovednosti – je miestom, kde vzniká drvivá väčšina narušení v cloude. Nie kvôli chybám v infraštruktúre AWS alebo Azure, ale kvôli nesprávnym konfiguráciám v spôsobe, akým zákazníci tieto služby používajú. Nadmerne povoľujúce IAM roly, verejne prístupné úložné priestory, nezaistená komunikácia medzi službami, heslá uložené v premenných prostredia v čitateľnom formáte – toto sú zistenia, ktoré dominujú v správach z cloudových Penetration Testingov.

IAM: Klenoty koruny

Identity and Access Management je najkritickejšia – a najčastejšie nesprávne nakonfigurovaná – vrstva v každom cloudovom prostredí. Cloudový pentesting musí vyhodnotiť, či IAM politiky dodržiavajú princípy najmenšieho privilégiá, či existujú nepoužívané roly a poverenia, či cesty eskalácie privilégií umožňujú ohrozenej službe prístup k citlivým zdrojom a či je prístup medzi účtami správne obmedzený. Jediná nadmerne povoľujúca Lambda execution rola môže dať útočníkovi prístup ku každému S3 bucketu vo vašom účte.

Úložisko a odhalenie dát

Počet únikov dát, ktoré sa dajú vysledovať až k nesprávne nakonfigurovaným S3 bucketom, Azure Blob kontajnerom alebo GCP Cloud Storage objektom, je ohromujúci. Testovanie musí overiť, či sú povolenia úložiska správne obmedzené, či je verejný prístup tam, kde existuje, zámerný, či je šifrovanie aplikované v pokoji a pri prenose a či protokolovanie zachytáva prístup k citlivým objektom.

Konfigurácia siete a služieb

Testovanie cloudovej siete vyhodnocuje bezpečnostné skupiny, sieťové ACL, konfigurácie VPC, exponované služby a komunikačné cesty medzi cloudovými zdrojmi. Môže útočník získať prístup k interným službám z verejného internetu? Sú rozhrania pre správu (RDP, SSH, admin konzoly) správne obmedzené? Je východo-západná prevádzka medzi službami šifrovaná a autentifikovaná?

Prečo záleží na odbornosti poskytovateľa

Cloudové Penetration Testingy od Penetrify pokrývajú AWS, Azure a GCP s testermi, ktorí majú cloudovo špecifické certifikácie a rozumejú nuansám bezpečnostného modelu každého poskytovateľa. Rozdiel medzi pentesterom, ktorý si uvedomuje cloud, a generalistom, ktorý sa ku cloudu správa ako k akejkoľvek inej sieti, je rozdiel medzi nájdením reťazca eskalácie IAM privilégií, ktorý vedie k úplnému ohrozeniu účtu, a vytvorením správy o generických CVE, ktoré prehliadajú skutočné riziko.