Späť na blog
12. apríla 2026

Majstrovské Penetration Testing pre hybridné cloudové architektúry

Väčšina spoločností dnes nie je len „v cloude“ alebo „on-premise“. Sú niekde v strede. Možno ste presunuli svoje aplikácie pre zákazníkov do AWS alebo Azure, ale vaše hlavné finančné údaje stále sedia na staršom serveri v klimatizovanej miestnosti vo vašom suteréne. Alebo možno používate hybridné nastavenie na vyváženie elasticity cloudu s prísnou kontrolou súkromnej infraštruktúry. Je to praktický spôsob rastu, ale z hľadiska bezpečnosti je to nočná mora.

Problém je v tom, že „attack surface“ v hybridnom cloude je zvláštny. Nebránite len perimeter; bránite most. Útočníci sa nestarajú o to, kde žijú vaše údaje; hľadajú najslabší článok v spojení medzi vaším súkromným dátovým centrom a vaším verejným poskytovateľom cloudu. Ak je vaša cloudová konfigurácia laxná, útočník môže preskočiť z nesprávne nakonfigurovaného S3 bucketu priamo do vašej internej podnikovej siete. Ak je vaša on-prem VPN zastaraná, stane sa z nej vstupná brána do vášho cloudového prostredia.

Zvládnutie Penetration Testing pre hybridné cloudové architektúry znamená, že musíte prestať myslieť v silách. Nemôžete len spustiť skenovanie na svojich cloudových aktívach a potom spustiť samostatný audit na svojich lokálnych serveroch. Musíte otestovať tok. Musíte myslieť ako útočník, ktorý chce prechádzať cez tieto hranice.

V tejto príručke si rozoberieme, ako presne k tomu pristupovať. Pokryjeme špecifické zraniteľnosti, ktoré sužujú hybridné nastavenia, ako vytvoriť testovaciu stratégiu, ktorá skutočne niečo nájde, a ako prejsť od „kontrol zhody“ raz ročne k stavu nepretržitej bezpečnosti.

Prečo sú hybridné cloudové architektúry bezpečnostným mínovým poľom

Keď prejdete na čistý cloudový model, spoliehate sa na bezpečnostné nástroje poskytovateľa. Keď zostanete čisto on-premise, máte všetko pod kontrolou. Ale v hybridnom modeli máte „zdieľanú zodpovednosť“, ktorá je často nepochopená.

Najčastejším problémom je predpoklad, že spojenie medzi cloudom a dátovým centrom je vo svojej podstate bezpečné. Mnohé tímy nastavia Site-to-Site VPN alebo vyhradenú linku (ako AWS Direct Connect alebo Azure ExpressRoute) a predpokladajú, že pretože ide o „súkromný“ tunel, nemusia sa starať o internú segmentáciu. Toto je obrovská chyba. Ak útočník získa oporu vo webovom serveri založenom na cloude a tento server má cestu do on-premise databázy cez tunel, útočník je efektívne vo vnútri vášho domu.

Potom je tu kríza identity. Správa používateľov v Active Directory on-premise a Identity Provider (IdP) v cloude často vedie k „permission creep“. Ľudia získajú prístup k veciam, ktoré nepotrebujú, a keď opustia spoločnosť, ich prístup je zrušený na jednom mieste, ale pretrváva na inom.

„Medzera viditeľnosti“

V tradičnom nastavení máte firewall. Vidíte prenos. V hybridnom nastavení máte „neviditeľný“ prenos. Cloudové služby – ako funkcie Lambda alebo spravované Kubernetes clustre – často komunikujú spôsobmi, ktoré tradičné on-premise monitorovacie nástroje nevidia. To vytvára slepé miesto. Možno zaznamenávate každý paket, ktorý zasiahne váš lokálny server, ale nemáte tušenie, že nejaké API volanie vo vašom cloudovom prostredí vylučuje údaje z vášho on-premise SQL servera.

Komplexnosť ako zraniteľnosť

Komplexnosť je nepriateľom bezpečnosti. Keď máte rôzne sady pravidiel pre vaše cloudové bezpečnostné skupiny a vaše on-premise pravidlá firewallu, stávajú sa chyby. Vývojár môže otvoriť port na testovanie v cloude a zabudnúť ho zatvoriť, pričom si neuvedomuje, že tento port poskytuje priamu cestu k citlivému internému staršiemu systému.

Plánovanie vašej hybridnej Penetration Testing stratégie

V hybridnom prostredí nemôžete len tak „improvizovať“. Ak začnete spúšťať agresívne skenovania bez plánu, pravdepodobne zrúti starší server alebo spustíte automatizovaný obranný systém poskytovateľa cloudu, čo môže spôsobiť označenie alebo obmedzenie vášho účtu.

Skutočná stratégia si vyžaduje fázový prístup. Najprv musíte zmapovať architektúru, potom definovať hranice a nakoniec vykonať sériu cielených testov.

Fáza 1: Objavovanie a mapovanie aktív

Nemôžete testovať to, o čom neviete, že existuje. V hybridnom prostredí je „tieňové IT“ nekontrolovateľné. Niekto mohol spustiť testovacie prostredie v GCP, ktoré je stále pripojené ku korporátnemu LDAP.

  • Cloud Inventory: Použite nástroje na zoznam každej inštancie, bucketu a serverless funkcie.
  • On-Prem Inventory: Auditujte svoje fyzické servery, VM a sieťové zariadenia.
  • Connection Mapping: Zdokumentujte, ako presne tieto dve prostredia komunikujú. Je to VPN? Vyhradený okruh? Ktoré porty sú otvorené? Ktoré rozsahy IP adries sú dôveryhodné?

Fáza 2: Definícia rozsahu

Scope creep je skutočné nebezpečenstvo pri Penetration Testing. Musíte mať jasno v tom, čo je „v rozsahu“ a „mimo rozsahu“.

Máte napríklad povolenie testovať základnú infraštruktúru poskytovateľa cloudu? (Nápoveda: Zvyčajne nie. Testujete svoju konfiguráciu na ich infraštruktúre). Máte povolenie vykonávať Denial of Service (DoS) testy na hybridnom prepojení? Pravdepodobne nie, pretože ak toto prepojenie vypadne, môže sa zastaviť celá vaša firma.

Fáza 3: Modelovanie hrozieb

Nespúšťajte len nástroj. Opýtajte sa: „Kto chce moje údaje a ako by ich získal?“

  • Scenár A: Útočník kompromituje cloudovú webovú aplikáciu a pokúša sa laterálne presunúť do on-premise mzdového systému.
  • Scenár B: Domáci laptop zamestnanca je infikovaný, pripojí sa cez VPN do kancelárie a útočník použije túto cestu na prístup ku cloudovej riadiacej konzole.
  • Scenár C: Nesprávne nakonfigurovaný cloudový úložný bucket prezradí tajný kľúč, ktorý útočníkovi umožní vytvárať nových administratívnych používateľov v hybridnom prostredí.

Testovanie prepojenia Cloud-to-Ground

„Most“, kde dochádza k väčšine hybridných zlyhaní. Toto je najkritickejšia časť vášho Penetration Testu. Chcete zistiť, či je oddelenie medzi vašimi prostrediami skutočný múr alebo len návrh.

Testovanie VPN a priamych pripojení

Ak používate Site-to-Site VPN, prvá otázka je: je správne šifrovaná? Používate zastarané protokoly?

Okrem šifrovania sa pozrite na smerovanie. Mnohé organizácie umožňujú komunikáciu „any-to-any“ cez hybridné prepojenie. To znamená, že akýkoľvek kompromitovaný VM v cloude môže pingovať akýkoľvek server on-prem. Penetration Tester sa pokúsi skenovať on-prem sieť z kompromitovanej cloudovej inštancie. Ak vidia váš radič domény alebo váš záložný server, máte problém so segmentáciou.

Kontrola pravidiel firewallu a bezpečnostných skupín

Cloudové bezpečnostné skupiny sú stavové, ale on-prem firewally často fungujú inak. Táto nezhoda vedie k „dieram“.

  • Permisívne pravidlá: Vyhľadajte pravidlá 0.0.0.0/0 vo vašich cloudových bezpečnostných skupinách. Aj keď je to len pre jeden port, je to potenciálny vstupný bod.
  • Prílišná dôvera v hybridné prepojenie: Skontrolujte, či váš on-prem firewall považuje všetku prevádzku prichádzajúcu z cloudového rozsahu IP adries za „dôveryhodnú“. Ak áno, akékoľvek narušenie v cloude je automatické narušenie on-prem siete.

Testovanie mosta identity

Väčšina hybridných nastavení používa nejakú formu synchronizácie identity (ako Azure AD Connect). Toto je cieľ s vysokou hodnotou.

Ak útočník dokáže kompromitovať účet s nízkymi oprávneniami v cloude, môže ho použiť na eskaláciu privilégií on-prem? Často sa to deje prostredníctvom útokov „golden ticket“ alebo zneužitím nesprávne nakonfigurovaných vzťahov dôvery medzi cloudovým tenantom a lokálnym forestom.

Vyskúšajte toto počas testu:

  1. Kompromitujte štandardný používateľský účet v cloude.
  2. Skontrolujte, či sa v cloudovom prostredí nenachádzajú uložené poverenia alebo skripty, ktoré by mohli obsahovať heslá on-prem servisných účtov.
  3. Pokúste sa použiť tieto poverenia na prístup k internému on-prem zdroju prostredníctvom hybridného prepojenia.

Posúdenie cloudovej vrstvy: Bežné slabé miesta

Zatiaľ čo pripojenie je most, samotný cloud poskytuje vstupné body. Väčšina „cloudových hackov“ nie sú v skutočnosti hacky poskytovateľa cloudu – sú to hacky konfigurácie používateľa.

Nesprávne nakonfigurované úložisko (syndróm „deravého vedra“)

Je to klišé, pretože sa to stáva každý deň. S3 buckety alebo Azure Blobs sú ponechané verejné.

Penetration Tester použije nástroje na nájdenie verejne prístupných bucketov. Skutočné nebezpečenstvo v hybridnom nastavení však spočíva v tom, že tieto buckety obsahujú konfiguračné súbory, súbory .env alebo SSH kľúče, ktoré poskytujú prístup do on-prem prostredia. Nájdenie súboru „backup_config.json“ vo verejnom buckete je často „golden ticket“, ktorý útočník potrebuje.

IAM Role Over-Permissioning

Identity and Access Management (IAM) je nový perimeter. Ak vývojár pridelí cloudovej inštancii AdministratorAccess len preto, aby to „fungovalo“, vytvoril obrovské riziko.

Ak útočník získa prístup k shellu cloudovej inštancie (prostredníctvom zraniteľnosti RCE vo webovej aplikácii), prvá vec, ktorú urobí, je kontrola služby metadát (napr. 169.254.169.254). Chce zistiť, ktorá IAM rola je pripojená k tejto inštancii. Ak má táto rola povolenia na úpravu nastavení siete alebo prístup k iným cloudovým službám, útočník sa môže pohybovať laterálne cez vaše cloudové prostredie skôr, ako sa vôbec dotkne vašich on-prem serverov.

Serverless a Container Vulnerabilities

Ak používate Lambda functions alebo Kubernetes (EKS/AKS/GKE), máte nové riziká.

  • Container Escapes: Ak kontajner beží ako root, útočník môže „uniknúť“ na hostiteľský uzol. Odtiaľ môže vidieť všetky ostatné kontajnery na tomto uzle a potenciálne získať prístup k podkladovému API poskytovateľa cloudu.
  • Function Injection: Serverless functions často prijímajú vstupy z webových požiadaviek. Ak tento vstup nie je sanitizovaný, môžete mať command injection, ktorý umožní útočníkovi spustiť kód v cloudovom prostredí, potenciálne ukradnúť tajomstvá z premenných prostredia.

Posúdenie on-prem vrstvy: Riziko starších systémov

Zvyčajne je on-prem strana hybridného cloudu miestom, kde žijú „staré veci“. Staršie systémy sa aktualizujú len zriedka, pretože „ak to nie je pokazené, neopravuj to“. Ale v hybridnom svete „nie je pokazené“ neznamená „bezpečné“.

Zlyhania správy záplat

Vaše cloudové inštancie sa môžu aktualizovať automaticky prostredníctvom CI/CD pipeline, ale váš lokálny súborový server pravdepodobne beží na Windows Server 2012.

Penetration Tester bude hľadať neopravené zraniteľnosti (ako EternalBlue alebo PrintNightmare) na vašich lokálnych serveroch. Keď získajú oporu na jednom lokálnom serveri, môžu ho použiť ako pivotný bod na útok na cloudovú správcovskú konzolu, ak má lokálny server uložené poverenia alebo session tokeny.

Nebezpečenstvo plochých sietí

Mnohé on-prem siete sú „ploché“, čo znamená, že ak ste raz vnútri, vidíte všetko. V hybridnom nastavení je to smrtiace. Ak cloudový most pristane v plochej on-prem sieti, „blast radius“ kompromitácie cloudu sa rozšíri na každé jedno zariadenie vo vašej kancelárii.

Riešenie: Implementujte mikro-segmentáciu. Hybridné prepojenie by malo pristáť v „DMZ“ alebo v špecifickom tranzitnom VPC/VNet. Odtiaľ by mala byť prevádzka prísne filtrovaná. Povolené by malo byť len to, aby konkrétne cloudové aplikácie, ktoré potrebujú komunikovať s konkrétnou on-prem databázou, to mohli robiť.

Nezabezpečené rozhrania správy

On-prem je bežné nájsť staré konzoly správy (IPMI, iDRAC, vSphere), ktoré sú prístupné cez sieť. Ak sú vystavené hybridnému prepojeniu, útočník z cloudu môže potenciálne reštartovať vaše fyzické servery alebo preinštalovať OS.

Podrobný návod: Scenár laterálneho pohybu

Aby ste pochopili, ako to všetko funguje, prejdime si hypotetický scenár útoku. Presne takto vyzerá profesionálny Penetration Test pri testovaní hybridnej architektúry.

Nastavenie: Spoločnosť má cloud-natívny frontend (AWS) a on-prem backend (Private Data Center). Sú prepojené cez Site-to-Site VPN.

Krok 1: Počiatočné prelomenie Útočník nájde zastaranú verziu CMS na webovej stránke. Použije známy exploit na získanie shellu s nízkymi oprávneniami na webovom serveri.

Krok 2: Cloudová rekognoskácia Útočník sa dotazuje na AWS Metadata Service. Zistí, že inštancia má rolu IAM s názvom App-Server-Role. Kontrolou povolení zistí, že táto rola má povolenie na čítanie z S3 bucketu s názvom company-configs.

Krok 3: Exfiltrácia tajomstiev Útočník stiahne obsah bucketu a nájde súbor s názvom db_connect.txt. Tento súbor obsahuje IP adresu on-prem SQL servera a heslo servisného účtu.

Krok 4: Prekročenie mosta Útočník sa pokúsi pripojiť k on-prem IP adrese. Pretože VPN umožňuje všetku prevádzku z AWS VPC do on-prem podsiete, pripojenie je úspešné.

Krok 5: On-Prem Eskalácia Útočník použije servisný účet na prihlásenie do SQL servera. Zistí, že SQL server beží ako Local Administrator. Použitím exploitácie eskalácie privilégií (ako je známa zraniteľnosť jadra) získa plný prístup SYSTEM k on-prem serveru.

Krok 6: Úplné narušenie domény Teraz, keď je útočník vo vnútri on-prem siete, použije mimikatz na výpis pamäte a nájde poverenia Domain Administratora, ktorý sa prihlásil do tohto servera pred týždňom. Útočník teraz vlastní celú firemnú identifikačnú štruktúru.

Ponaučenie: K "hacku" nedošlo kvôli jednému veľkému zlyhaniu. Stalo sa to kvôli reťazcu malých zlyhaní: neopravený CMS $\rightarrow$ prehnane privilegovaná rola IAM $\rightarrow$ tajomstvá v S3 buckete $\rightarrow$ nedostatok sieťovej segmentácie na VPN.

Ako automatizovať a škálovať hybridné testovanie

Vykonávať manuálny Penetration Test raz ročne je ako absolvovať fyzickú prehliadku raz ročne a predpokladať, že ste zdraví každý deň medzi tým. V hybridnom cloude sa veci menia každú hodinu. Niekto pridá pravidlo do bezpečnostnej skupiny; niekto spustí nový VM; niekto aktualizuje časť kódu.

Potrebujete spôsob, ako tento proces urobiť nepretržitým.

Nepretržité skenovanie zraniteľností

Nemôžete len skenovať svoje IP adresy. Potrebujete skener, ktorý si je "vedomý aktív". To znamená nástroj, ktorý vie, kedy sa vo vašom cloude vytvorí nová inštancia, a automaticky ju pridá do zoznamu skenovania. Mal by byť tiež schopný dosiahnuť cez hybridné prepojenie, aby skontroloval stav vašich on-prem aktív.

Úloha Breach and Attack Simulation (BAS)

Nástroje BAS vám umožňujú spúšťať "playbooky" útokov. Môžete simulovať scenár útoku "Cloud-to-Ground" opísaný vyššie každý týždeň. Ak zmena konfigurácie náhle otvorí dieru vo vašom firewalle, nástroj BAS ju zachytí pri ďalšom spustení, namiesto toho, aby čakal, kým ju ľudský tester nájde o šesť mesiacov neskôr.

Integrácia s vaším pracovným postupom

Najväčší problém s bezpečnostnými testami je "PDF Report." 100-stranový PDF súbor zraniteľností je miesto, kde bezpečnosť zomiera.

Potrebujete, aby výsledky testovania smerovali priamo do vášho systému pre správu ticketov (Jira, ServiceNow atď.). Ak sa v hybridnom prepojení nájde zraniteľnosť s vysokou závažnosťou, mala by automaticky spustiť ticket pre sieťový tím.

Využitie Penetrify pre hybridnú bezpečnosť

Tu sa platforma ako Penetrify stáva prelomovou. Pokúšať sa spravovať to všetko manuálne – skenovanie, manuálne testovanie, mapovanie a nápravu – je práca na plný úväzok pre rozsiahly tím.

Penetrify poskytuje cloud-natívnu architektúru, ktorá rieši bolesť hlavy s infraštruktúrou. Namiesto toho, aby ste si museli nastavovať vlastné "attack boxy" on-prem a v cloude, Penetrify vám umožňuje nasadzovať bezpečnostné hodnotenia na požiadanie. Premosťuje priepasť tým, že poskytuje automatizované skenovanie aj manuálne odborné znalosti, čo znamená, že získate rýchlosť nástroja s kritickým myslením človeka. Či už ste spoločnosť strednej triedy, ktorá sa snaží škálovať svoju bezpečnosť bez toho, aby ste museli najať päť nových inžinierov, alebo podnik spravujúci komplexný hybridný web, Penetrify vám pomôže identifikovať tieto "mostové" zraniteľnosti skôr, ako to urobí skutočný útočník.

Bežné chyby pri hybridnom Penetration Testing

Videl som veľa tímov, ktoré "robia" Penetration Testing, ale robia to spôsobom, ktorý poskytuje falošný pocit bezpečnosti. Tu sú najbežnejšie pasce:

1. Testovanie v "čistom" prostredí

Niektoré spoločnosti vytvárajú "stagingové" prostredie, ktoré vyzerá ako ich hybridné nastavenie, ale je "čistejšie" ako produkcia. Toto je zbytočné. Produkcia je miesto, kde je "bordel". Produkcia je miesto, kde žijú staré legacy pravidlá. Ak netestujete skutočné prostredie, kde sa nachádzajú dáta, nenachádzate skutočné riziká.

2. Ignorovanie cesty "Ground-to-Cloud"

Každý sa obáva, že cloud je vstupný bod. Ale čo opačná cesta? Útočník sa dostane do lokálnej pracovnej stanice prostredníctvom phishingu a potom použije hybridné prepojenie na prístup ku cloudovej riadiacej konzole. Ak je vaša cloudová admin konzola prístupná z internej firemnej siete bez Multi-Factor Authentication (MFA), ste úplne otvorení.

3. Spoliehanie sa výlučne na automatizované nástroje

Automatizované skenery sú skvelé na hľadanie chýbajúcich záplat, ale sú hrozné pri hľadaní logických chýb. Skener vám nepovie: "Hej, táto rola IAM je príliš silná pre túto konkrétnu aplikáciu." Povie vám len, že server je opravený. Potrebujete manuálny prieskum na nájdenie ciest laterálneho pohybu.

4. Preskočenie kroku "Overenie nápravy"

Bežný vzor:

  1. Test nájde zraniteľnosť.
  2. Vývojársky tím povie: "Opravené!"
  3. Bezpečnostný tím to označí ako "Zatvorené."

Nikdy to nerobte. Vždy to znova otestujte. Často "oprava" len presunie zraniteľnosť niekam inam, alebo v skutočnosti nevyrieši základnú príčinu.

Kontrolný zoznam zabezpečenia hybridného cloudu

Ak sa pripravujete na Penetration Test alebo robíte vlastný audit, použite tento kontrolný zoznam, aby ste sa uistili, že ste pokryli všetky základy.

Sieť a konektivita

  • Auditujte všetky konfigurácie Site-to-Site VPN a Direct Connect.
  • Overte, či hybridné prepojenie smeruje do obmedzenej podsiete (nie do hlavnej lokálnej siete).
  • Skontrolujte, či sa v cloudových bezpečnostných skupinách nenachádzajú 0.0.0.0/0 alebo príliš rozsiahle bloky CIDR.
  • Potvrďte, že lokálne firewally filtrujú prenos prichádzajúci z cloudu.
  • Zmapujte všetky porty a protokoly povolené cez hybridný most.

Identita a prístup

  • Skontrolujte roly IAM pre "Princíp najmenšieho privilégiá."
  • Auditujte synchronizáciu identít (napr. AD Connect) pre cesty eskalácie privilégií.
  • Uistite sa, že MFA je povinné pre všetok prístup ku cloudovej riadiacej konzole, a to aj z internej siete.
  • Skontrolujte natvrdo zakódované poverenia/tajomstvá v cloudovom úložisku alebo premenných prostredia.
  • Overte, či sú "osirelé" účty (bývalí zamestnanci) odstránené z cloudových aj lokálnych systémov.

Infraštruktúra a aplikácie

  • Skenujte všetky verejne prístupné cloudové úložné priestory na otvorené povolenia.
  • Auditujte lokálne staršie servery na kritické neopravené zraniteľnosti.
  • Otestujte izoláciu kontajnerov, aby ste sa uistili, že kompromitovaný pod nemá prístup k hostiteľskému uzlu.
  • Overte, či serverless funkcie majú obmedzený prístup k interným zdrojom.
  • Uistite sa, že centralizované protokolovanie zachytáva prenos v cloude aj lokálne.

Porovnanie: Tradičný Pentesting vs. Hybrid Cloud Pentesting

Funkcia Tradičný Pentesting Hybrid Cloud Pentesting
Perimeter Jasne definovaný (Firewall) Fluidný (IAM, API, VPN, VPC)
Focus Externý $\rightarrow$ Interný Cloud $\leftrightarrow$ On-Prem $\leftrightarrow$ Cloud
Tooling Sieťové skenery, Metasploit Cloud-natívne nástroje, audítori IAM, BAS
Speed Periodická (ročná/štvrťročná) Kontinuálna/Na požiadanie
Risk Area Softvérové chyby, otvorené porty Nesprávne konfigurácie, vzťahy dôvery
Responsibility Úplne interná Zdieľaná (Vy + Poskytovateľ cloudu)

FAQ: Zvládnutie zabezpečenia hybridného cloudu

Otázka: Musím informovať svojho poskytovateľa cloudu pred vykonaním Penetration Testu? Odpoveď: V minulosti ste museli žiadať o povolenie takmer na všetko. V súčasnosti majú AWS, Azure a GCP zoznamy "Povolených služieb". Pre väčšinu štandardných testov (skenovanie vlastných inštancií, útok na vlastné aplikácie) ich nemusíte informovať. Ak však robíte niečo agresívne, ako napríklad DDoS test alebo testovanie základnej štruktúry, musíte si absolútne overiť politiku poskytovateľa, aby ste sa vyhli pozastaveniu svojho účtu.

Otázka: Čo je nebezpečnejšie: cloudová strana alebo lokálna strana? Odpoveď: Ani jedna nie je vo svojej podstate "viac" nebezpečná; majú len rôzne spôsoby zlyhania. Cloudová strana zlyháva kvôli nesprávnej konfigurácii (napr. otvorený S3 bucket). Lokálna strana zlyháva kvôli zanedbaniu (napr. neopravený server z roku 2016). Skutočné nebezpečenstvo je interakcia medzi týmito dvoma.

Otázka: Ako často by som mal testovať svoju hybridnú architektúru? Odpoveď: Ak pôsobíte v regulovanom odvetví (HIPAA, PCI-DSS, SOC 2), pravdepodobne máte požiadavku na ročné alebo polročné testy. Ale úprimne? Mali by ste robiť automatizované skenovanie týždenne a hĺbkový manuálny Penetration Testing zakaždým, keď urobíte významnú zmenu vo svojej architektúre (napr. zmena poskytovateľa VPN alebo migrácia novej hlavnej aplikácie do cloudu).

Otázka: Môžem použiť open-source nástroje na hybridné testovanie? Odpoveď: Áno, nástroje ako Nmap, Burp Suite a Metasploit sú stále nevyhnutné. Pre cloudovú stranu sú nástroje ako Prowler alebo Scout Suite skvelé na auditovanie konfigurácií. Problémom však nie sú nástroje – je to korelácia údajov. Preto je platforma ako Penetrify užitočná; organizuje zistenia do uceleného obrazu vášho skutočného rizika.

Otázka: Čo je najdôležitejšia vec, ktorú môžem urobiť na zabezpečenie svojho hybridného prepojenia? Odpoveď: Prestaňte dôverovať "súkromnej" povahe prepojenia. Správajte sa k spojeniu medzi vaším cloudom a vaším dátovým centrom, ako keby to bol verejný internet. Vyžadujte autentifikáciu na každom kroku, šifrujte všetko a používajte prístup "Zero Trust". Ak cloudová aplikácia potrebuje komunikovať s lokálnou databázou, mala by to byť jediná vec, ktorá to môže urobiť, na jednom konkrétnom porte a až po overení.

Realizovateľné ďalšie kroky

Ak sa cítite zahltení zložitosťou vášho hybridného nastavenia, nesnažte sa opraviť všetko naraz. Začnite týmito tromi krokmi:

  1. Zmapujte most: Strávte jedno popoludnie dokumentovaním každého jedného spôsobu, akým vaše cloudové prostredie komunikuje s vašim on-prem prostredím. Ak nájdete spojenie, ktoré nepoznáte, okamžite ho vypnite alebo prešetrite.
  2. Sprísnite IAM: Prejdite si vaše najpoužívanejšie cloudové roly. Ak má rola AdministratorAccess alebo FullS3Access, ale potrebuje iba čítať jeden konkrétny bucket, zmeňte to. Toto je najrýchlejší spôsob, ako zmenšiť váš polomer výbuchu.
  3. Spustite cielený test: Nečakajte na váš ročný audit. Vyberte si jeden vysoko hodnotný asset on-prem a skúste zistiť, či sa k nemu dostanete z cloudovej inštancie s nízkymi oprávneniami. Ak áno, práve ste našli svoju prvú hlavnú prioritu pre nápravu.

Bezpečnosť nie je cieľ; je to proces neustáleho zdokonaľovania. Čím viac testujete, tým viac si uvedomíte, že "steny", o ktorých ste si mysleli, že ich máte, sú často len závesy. Prijatím stratégie Penetration Testing, ktorá si uvedomuje hybridné prostredie, prechádzate od hádania, že ste v bezpečí, k vedeniu, kde presne sú vaše medzery.

Ak chcete prestať hádať a začať overovať svoju bezpečnosť, Penetrify vám môže pomôcť automatizovať nudné časti tohto procesu a zároveň vám poskytne odborné poznatky potrebné na zabezpečenie vašej hybridnej architektúry. Navštívte penetrify.cloud a zistite, ako môžete začať identifikovať a opravovať zraniteľnosti skôr, ako sa stanú titulkami.

Späť na blog