AWS Security Testing: Ein Leitfaden für Penetration Testing in Amazon Web Services

IAM: Die Kronjuwelen

AWS IAM ist der mächtigste – und am häufigsten falsch konfigurierte – Dienst im gesamten Ökosystem. Tests müssen IAM-Richtlinien auf Verstöße gegen das Least-Privilege-Prinzip prüfen, ungenutzte Rollen und Zugriffsschlüssel identifizieren, nach Privilege-Escalation-Pfaden suchen (Rollenverkettung, Richtlinienzuordnung, AssumeRole-Missbrauch), die Wirksamkeit von Service Control Policies überprüfen und sicherstellen, dass der kontoübergreifende Zugriff ordnungsgemäß eingeschränkt ist. Eine einzige, zu permissive Lambda-Ausführungsrolle kann einem Angreifer Zugriff auf jeden S3-Bucket, jede DynamoDB-Tabelle und jedes Geheimnis im Secrets Manager geben. IAM-Tests liefern die wirkungsvollsten Ergebnisse.

S3 und Speichersicherheit

Fehlkonfigurationen von S3 waren die Ursache für einige der größten Datenschutzverletzungen der Geschichte. Die Tests umfassen Bucket-Richtlinien und ACLs auf unbeabsichtigten öffentlichen Zugriff, serverseitige Verschlüsselung im Ruhezustand, Zugriffsprotokollierung und -überwachung, Versionierung und Lifecycle-Richtlinien sowie die Generierung von Presigned URLs für zeitlich begrenzten Zugriff. Die Standardeinstellungen für Block Public Access aus dem Jahr 2023 haben die grundlegende Sicherheit verbessert, aber Legacy-Buckets und explizite Richtlinienüberschreibungen stellen weiterhin ein Risiko dar.

Lambda und Serverless

Lambda-Funktionen führen einzigartige Angriffsvektoren ein: zu permissive Ausführungsrollen, die mehr Zugriff gewähren, als die Funktion benötigt, Umgebungsvariablen, die Geheimnisse im Klartext speichern, Event Injection durch ungeprüfte Eingaben von API Gateway oder S3-Triggern und Cold-Start-Timing-Angriffe. Das Testen von Serverless erfordert ein Verständnis dafür, wie ereignisgesteuerte Architekturen missbraucht werden können.

EC2, VPC und Netzwerkschicht

EC2-Tests bewerten Security Groups auf übermäßig permissive Ingress-Regeln, die Konfiguration des Instance Metadata Service (IMDSv1 vs v2), die EBS-Volume-Verschlüsselung und die SSH-Schlüsselverwaltung. VPC-Tests überprüfen, ob Netzwerk-ACLs und Security Groups eine ordnungsgemäße Segmentierung implementieren, ob VPC-Endpunkte für den privaten Dienstzugriff konfiguriert sind und ob VPC-Peering keine unbeabsichtigten netzwerkübergreifenden Pfade erstellt.

Dienstübergreifende Angriffspfade

Die wirkungsvollsten AWS-Ergebnisse verketten Schwachstellen über verschiedene Dienste hinweg. Ein SSRF in einer Webanwendung ruft temporäre Anmeldeinformationen vom EC2-Metadatendienst (IMDSv1) ab. Diese Anmeldeinformationen gehören zu einer zu permissiven Rolle, die Geheimnisse vom Secrets Manager lesen kann. Die Geheimnisse enthalten Datenbankanmeldeinformationen für die RDS-Instanz, die Kundendaten enthält. Diese Kette – Web App → Metadaten → IAM → Geheimnisse → Datenbank – ist genau das, wonach erfahrene Cloud-Pentesters suchen und was automatisierte Scanner übersehen.

AWS mit Penetrify testen

Das AWS-Sicherheitstesting von Penetrify deckt IAM-Richtlinienanalysen, S3-/Speichersicherheit, Lambda- und Serverless-Konfigurationen, EC2/VPC-Netzwerkarchitektur und die Validierung von dienstübergreifenden Angriffspfaden ab. Die Experten verfügen über AWS-Sicherheitszertifizierungen und verstehen die anbieterspezifischen Nuancen, die generischen Pentestern entgehen. Compliance-basierte Berichte unterstützen Auditoren von SOC 2, PCI DSS, HIPAA und ISO 27001.