Особливості хмарних пентестів в Amazon Web Services
З постійним зростанням кількості організацій, що переносять свою діяльність у хмару, питання безпеки набувають особливої актуальності. Amazon Web Services (AWS) – одна з найбільш популярних хмарних платформ, однак вона не застрахована від кібератак.
Тестування на проникнення стає критичним етапом виявлення потенційних вразливостей в інфраструктурі AWS.
У цій статті ми розглянемо необхідність проведення тестування на проникнення в AWS, поділимося корисними рекомендаціями та прояснимо важливість забезпечення безпеки в хмарному середовищі. Якщо ви прагнете захистити свої дані та операції, цей матеріал буде корисним для вас.
Як традиційне тестування на проникнення відрізняється від тестування на проникнення в AWS?
Традиційне тестування на проникнення та тестування на проникнення в AWS мають суттєві відмінності у світлі сучасних технологічних змін.
Складена нами порівняльна таблиця дає змогу зрозуміти обмеження традиційних підходів і пояснює, чому проведення тестування в AWS стає невід’ємною складовою забезпечення безпеки в хмарному середовищі.
| Аспект | Традиційне тестування на проникнення | Тестування на проникнення в AWS |
| Інфраструктура | Фізична інфраструктура (сервери, маршрутизатори і т. д.) | Віртуальна інфраструктура (EC2, S3 та інші сервіси AWS) |
| Інструменти | Локальні та хмарні інструменти | Локальні, хмарні та спеціалізовані інструменти для AWS (AWS Inspector, Amazon GuardDuty, AWS Config) |
| Методологія | Метод “чорного ящика”, рідше – “сірого ящика” або “білого ящика” | В основному метод “білого ящика” |
| Сфера застосування | Зазвичай обмежується конкретними системами або застосунками | Охоплює широкий спектр сервісів та конфігурацій AWS |
| Швидкість і масштаб автоматизованої частини тестування | Зазвичай повільніше та обмежене ресурсами організації. | Більш масштабоване та швидке завдяки хмарній інфраструктурі |
| Динамічність | Менше здатне адаптуватися до інфраструктури, що швидко змінюється | Адаптується до динаміки хмарного середовища |
| Врахування загальної відповідальності | Основна увага приділяється внутрішнім ресурсам та вразливостям | Враховує спільну відповідальність з AWS за безпеку |
| Підтримка хмар | Вимагає адаптації для роботи з хмарними середовищами | Спеціально розроблено для виявлення хмарних ризиків та вразливостей |
Що заборонено для проведення пен-тестування в AWS?
Відомий факт, що проведення пен-тестування в середовищі Amazon Web Services (AWS) допускається компанією Amazon, проте існує низка заборонених галузей, які важливо враховувати. Ці обмеження спрямовані на забезпечення безпеки, цілісності та надійності хмарної інфраструктури. Нижче розглянемо, які саме обмеження існують.
Тестування зовнішніх сервісів. Однією з основних заборон є заборона на тестування сервісів, які не пов’язані з вашим обліковим записом AWS або належать іншим клієнтам. Це охоплює сервіси, що знаходяться поза вашою власною сферою впливу. Очевидно, що такі дії можуть негативно позначитися на загальній безпеці та довірі до платформи.
Фізична безпека. Важливо зазначити, що тестування заходів фізичної безпеки, таких як центри обробки даних, будівлі та персонал, категорично заборонено. Такий підхід допомагає запобігти потенційним ризикам, пов’язаним із небажаним впливом на реальні об’єкти.
Служби підтримки AWS. Заборонено здійснювати тестування служб підтримки AWS або звертатися до служби підтримки AWS із запитами на проведення пен-тестування. Це пов’язано з тим, що навіть обмежені впливи на такі служби можуть викликати дисбаланс і негативно вплинути на досвід клієнтів.
Сторонні застосунки та сервіси. Також варто зважати на заборону на тестування сторонніх застосунків або сервісів, інтегрованих із вашими ресурсами AWS, якщо у вас немає явної згоди від власників цих ресурсів. Це важливо для забезпечення конфіденційності та захисту даних інших користувачів.
Інтерференція та шкода. Заборонено проводити дії, які можуть завдати шкоди роботі служб AWS або негативно вплинути на ресурси інших клієнтів. Це обмеження допомагає підтримувати стабільність і надійність всієї інфраструктури.
Використання відомих вразливостей. Бажано уникати використання вразливостей, про які вже повідомлено AWS. Це робиться для підтримки етичних стандартів і запобігання практичним проблемам.
Самостійне тестування на проникнення в AWS: наші рекомендації
Самостійне проведення тестування на проникнення в AWS вимагає особливої обережності та знань про хмарну інфраструктуру. Щоб допомогти вам у цьому складному процесі, ми підготували покрокову інструкцію з основними рекомендаціями для успішного проведення пен-тестування в середовищі AWS.
Крок 1: Підготовчі заходи
Постановка цілей. Визначте цілі пен-тестування. Які системи, застосунки або ресурси ви плануєте перевірити? Які вразливості та атаки ви хотіли б дослідити?
Узгодження. Отримайте згоду від власників ресурсів і адміністраторів AWS на проведення пен-тестування.
Вибір типу тестування. Вирішіть, який тип пен-тестування вам необхідний: зовнішній (має на увазі атаки зовні), внутрішній (атаки зсередини) або комбінований.
Крок 2: Підготовка оточення
Створення тестового середовища. Сконфігуруйте окреме тестове середовище в AWS, щоб ізолювати тестування від робочого оточення.
Копіювання даних. Якщо це необхідно для тестування, створіть копії даних, щоб уникнути випадкового пошкодження “живих” даних.
Імітація атакуючого. Переконайтеся, що ви розумієте, які атакуючі методи ви будете використовувати, і що ви маєте відповідні інструменти.
Крок 3: Проведення тестування
Сканування та визначення активів. Використовуйте інструменти для виявлення активних хостів, служб і портів.
Пошук вразливостей. Застосуйте автоматизовані інструменти та ручні методи для пошуку вразливостей у застосунках, сервісах та інфраструктурі.
Експлуатація вразливостей. Спробуйте експлуатувати знайдені вразливості, щоб отримати доступ або контроль над системою.
Аналіз результатів. Оцініть результати тестування, визначте успішність атак і потенційні загрози для системи.
Крок 4: Звітність
Підготовка звіту. Складіть детальний звіт про проведене тестування. Включіть інформацію про знайдені вразливості, методи атак і успішні експлуатації.
Рекомендації щодо рішення. Надайте рекомендації щодо усунення знайдених вразливостей і підвищення рівня безпеки.
Крок 5: Пост-тестування
Аналіз ризиків. Спільно з власниками ресурсів оцініть ризики, пов’язані з виявленими вразливостями, і вирішіть, які дії вжити.
Усунення вразливостей. Застосуйте рекомендації щодо рішення, щоб усунути знайдені вразливості.
Повторна перевірка. Проведіть повторне тестування виявлених вразливостей, щоб переконатися, що вони ліквідовані повністю або частково.
Навчання персоналу. Забезпечте навчання співробітників за уроками, винесеними з пен-тестування, щоб уникнути повторення помилок у майбутньому.
Крок 6: Завершення
Узгодження закінчення. Переконайтеся, що власники ресурсів задоволені результатами тестування і вживають заходів для поліпшення безпеки.
Архівування даних. Збережіть протягом дозволеного періоду зберігання звіти та іншу релевантну документацію для майбутніх порівнянь і аналізу.
Зворотній зв’язок. Проведіть обговорення з власниками ресурсів і адміністраторами AWS, щоб обмінятися досвідом і порадами.
Дотримуючись цих кроків і пройшовши необхідне навчання, наприклад, OCPT, GCPN, C|PENT або MCPT, ви зможете власними силами провести базове тестування на проникнення в AWS.
Однак, пам’ятайте, що самостійне проведення повного тесту на проникнення та аудиту AWS може виявитися складним і трудомістким завданням. Тому ми рекомендуємо звернутися по допомогу до професіоналів, якщо ви не впевнені у своїх навичках.
_______________________________
Підпишіться на наш канал Телеграм, щоб не пропустити нові статті нашого блогу.