TaaS pour environnements multi-cloud : Tests sur AWS, Azure et GCP

Le défi des tests multi-cloud

Chaque fournisseur de cloud implémente la sécurité différemment. Les politiques AWS IAM utilisent des documents JSON avec une logique d'évaluation complexe. Azure RBAC fonctionne via un modèle d'attribution de rôles avec héritage. GCP IAM utilise une hiérarchie de ressources avec des liaisons au niveau de l'organisation, du dossier et du projet. Une mauvaise configuration dans l'un de ces éléments peut exposer des données dans l'ensemble de votre environnement, mais la mauvaise configuration se présente différemment chez chaque fournisseur.

Chemins d'attaque inter-cloud

Les vulnérabilités multi-cloud les plus dangereuses ne se trouvent pas chez un seul fournisseur, mais entre les fournisseurs. Une identité Azure AD compromise qui accorde l'accès à une application hébergée sur AWS. Un compte de service GCP trop permissif qui relie à une API hébergée sur Azure. Tester ces chemins inter-cloud nécessite de comprendre comment vos fournisseurs s'interconnectent.

Pourquoi une expertise spécifique à chaque fournisseur est importante

Les testeurs de réseau génériques qui traitent le cloud "comme n'importe quelle autre infrastructure" passent à côté des chemins d'escalade de privilèges IAM, des scénarios d'abus de services spécifiques au cloud et des chaînes d'attaque entre comptes. Les tests natifs du cloud de Penetrify attribuent des praticiens possédant une expertise approfondie d'AWS, d'Azure et de GCP - des testeurs qui comprennent les nuances du modèle de sécurité de chaque fournisseur et qui peuvent tester les chemins d'attaque inter-cloud qui relient vos environnements.

Rapports unifiés sur tous les clouds

Les tests multi-cloud doivent produire un rapport unique et unifié, et non des documents distincts par fournisseur. Les conclusions doivent être hiérarchisées en fonction du risque réel, quel que soit le cloud d'où elles proviennent, et être mises en correspondance avec les contrôles de conformité qui s'appliquent à l'ensemble de votre infrastructure.

Conclusion

Les environnements multi-cloud multiplient la complexité des tests de sécurité du cloud. Penetrify fournit des tests unifiés sur AWS, Azure et GCP avec des praticiens qui comprennent les vecteurs d'attaque spécifiques à chaque fournisseur et qui peuvent cartographier les chemins d'exploitation inter-cloud.

Foire aux questions

Ai-je besoin de "Penetration Testing" distincts pour chaque fournisseur de cloud ?

Non. Un engagement TaaS bien défini doit couvrir tous vos environnements cloud dans un seul engagement, en testant au sein de chaque fournisseur et entre les fournisseurs pour les chemins d'attaque inter-cloud.

Quel cloud est le plus difficile à sécuriser ?

Chacun a ses propres défis. AWS IAM est notoirement complexe. L'intégration d'Azure AD crée de grandes surfaces d'attaque. La hiérarchie des ressources de GCP nécessite une gestion prudente des politiques. Le plus "difficile" dépend de votre configuration spécifique, et non du fournisseur.