Testování bezpečnosti AWS: Průvodce Penetration Testingem pro Amazon Web Services

IAM: Klenoty Koruny

AWS IAM je nejsilnější – a nejčastěji chybně konfigurovaná – služba v celém ekosystému. Testování musí vyhodnocovat IAM politiky z hlediska porušení principu nejmenšího privilegia, identifikovat nepoužívané role a přístupové klíče, prohledávat cesty k eskalaci oprávnění (řetězení rolí, připojení politik, zneužití AssumeRole), testovat Service Control Policies z hlediska účinnosti vynucování a ověřovat, zda je přístup mezi účty řádně omezen. Jedna jediná příliš benevolentní role spouštění Lambda funkce může útočníkovi poskytnout přístup ke každému S3 bucketu, každé tabulce DynamoDB a každému tajnému klíči v Secrets Manager. Testování IAM je místo, kde se nacházejí nálezy s největším dopadem.

S3 a zabezpečení úložiště

Chybné konfigurace S3 stály za některými z největších úniků dat v historii. Testování zahrnuje politiky bucketů a ACL pro neúmyslný veřejný přístup, šifrování server-side v klidovém stavu, protokolování a monitorování přístupu, verzování a politiky životního cyklu a generování presigned URL pro časově omezený přístup. Výchozí nastavení z roku 2023 pro Block Public Access zlepšilo základní zabezpečení, ale starší buckety a explicitní přepsání politik stále vytvářejí rizika.

Lambda a Serverless

Lambda funkce přinášejí jedinečné vektory útoku: příliš benevolentní role spouštění, které udělují více přístupu, než funkce potřebuje, proměnné prostředí ukládající tajné klíče v prostém textu, injekce událostí prostřednictvím neošetřeného vstupu z API Gateway nebo S3 triggerů a útoky časováním cold start. Testování serverless vyžaduje pochopení toho, jak lze zneužít architektury řízené událostmi.

EC2, VPC a síťová vrstva

Testování EC2 vyhodnocuje bezpečnostní skupiny z hlediska příliš benevolentních pravidel ingress, konfigurace služby instance metadata (IMDSv1 vs v2), šifrování svazků EBS a správy SSH klíčů. Testování VPC ověřuje, zda síťové ACL a bezpečnostní skupiny implementují správnou segmentaci, zda jsou VPC endpointy konfigurovány pro soukromý přístup ke službám a zda VPC peering nevytváří neúmyslné cesty mezi sítěmi.

Útočné cesty napříč službami

Náhod největším dopadem v AWS jsou řetězce zranitelností napříč službami. SSRF ve webové aplikaci načítá dočasné přihlašovací údaje ze služby EC2 metadata (IMDSv1). Tyto přihlašovací údaje patří k příliš benevolentní roli, která může číst tajné klíče z Secrets Manager. Tajné klíče zahrnují přihlašovací údaje databáze pro instanci RDS obsahující zákaznická data. Tento řetězec – webová aplikace → metadata → IAM → tajné klíče → databáze – je přesně to, co zkušení cloudoví penteři hledají a co automatizované skenery přehlížejí.

Testování AWS s Penetrify

AWS security testing od Penetrify zahrnuje analýzu IAM politik, zabezpečení S3/úložiště, konfigurace Lambda a serverless, síťovou architekturu EC2/VPC a validaci útočných cest napříč službami. Praktici mají bezpečnostní certifikace AWS a rozumí nuancím specifickým pro tohoto poskytovatele, které generickým pentesterům unikají. Zprávy mapované na shodu slouží auditorům SOC 2, PCI DSS, HIPAA a ISO 27001.