Testování zabezpečení cloudové sítě: VPC, Security Groups a pravidla firewallu

Testování Security Group a NSG

Testování vyhodnocuje každé pravidlo security group/NSG z hlediska nadměrně permisivního přístupu – zejména příchozí pravidla, která umožňují široké rozsahy IP adres, rozsahů portů nebo protokolové zástupné znaky. Zastaralá pravidla, dočasné výjimky, které se staly trvalými, a samo-referenční skupiny, které umožňují neomezenou komunikaci uvnitř skupiny, představují riziko.

Validace segmentace sítě

Testování ověřuje, zda síťová segmentace skutečně izoluje to, co má izolovat. Může se pracovní zátěž ve vývojové VPC dostat k produkčním databázím? Může kompromitovaný webový server přistupovat do sítě správy? Testování segmentace prokazuje, že vaše hranice sítě obstojí za útočných podmínek – což je nezbytné pro soulad s PCI DSS.

Testování kontroly odchozího provozu (Egress Control Testing)

Většina testování cloudové bezpečnosti se zaměřuje na příchozí přístup. Testování odchozího provozu (Egress testing) vyhodnocuje, zda je odchozí provoz řádně omezen – čímž se zabraňuje exfiltraci dat, komunikaci command-and-control a laterálnímu pohybu prostřednictvím neomezeného odchozího přístupu.

Propojení mezi cloudy a hybridní konektivita

Testování vyhodnocuje VPN připojení, VPC peering, PrivateLink/Private Endpoints a tranzitní brány z hlediska nezamýšlených cest křížového síťového přístupu.

Testování cloudové sítě s Penetrify

Testování cloudové sítě pomocí Penetrify zahrnuje security groups, NACLs, pravidla firewallu, validaci segmentace a křížovou síťovou konektivitu napříč AWS, Azure a GCP.