El Pentesting en la nube de AWS son únicas, y brindan su propio conjunto de consideraciones de seguridad. Si bien algunas vulnerabilidades se mitigan a través de las medidas de seguridad de Amazon, la complejidad de estos servicios deja a muchas empresas expuestas. Una de las características más sólidas de AWS es la inmensa flexibilidad que se brinda a los usuarios para configurar el entorno. Si bien la flexibilidad es excelente, también es una preocupación de seguridad importante.
En general se puede realizar un Pentesting en cualquier servicio de Amazon y, desde 2019, ya no se requiere la aprobación previa de la empresa.
Se pueden realizar los siguientes tipos de análisis en la nube:

  • Servicios operados por el usuario: en este caso hay poca o ninguna interacción con el proveedor de alojamiento (como EC2) y, en términos generales, pueden ser probados a fondo y con pocas restricciones, excepto la denegación de servicio (DDoS) y las interrupciones relacionadas con la continuidad del negocio.
  • Servicios operados por el proveedor: ofertas en la nube que son propiedad del operador y son operadas por el proveedor y que se proporcionan «como un servicio». Ejemplos serían los servicios de Gmail, Dropbox, Salesforce y AWS como Cloudfront. Eso no quiere decir que las implementaciones de estos no tienen vulnerabilidades, sino que las pruebas se centran en la implementación y la configuración, en lugar de las pruebas de infraestructura que son propiedad del proveedor.

La infraestructura de seguridad tradicional y las nubes de AWS difieren de varias maneras. Desde la instalación y configuración hasta la identidad y los permisos de usuario, las pilas de tecnología no podrían ser más distintas.

La arquitectura de AWS se compone de un conjunto de API profundamente integrados en el ecosistema de AWS y es necesario probar una variedad de configuraciones específicas de AWS, que incluyen lo siguiente:

  • Explotación de instancia y aplicación EC2
  • Orientación y compromiso de claves de AWS IAM
  • Prueba de la configuración de S3 y fallas en los permisos
  • Establecer acceso a la nube privada a través de las funciones Lambda
  • Cubrir pistas al ofuscar registros de CloudTrail

En una evaluación de AWS, el cliente proporciona una cuenta de auditoria a la consola de administración de AWS al equipo de evaluación. Al habilitar esta vista, los analistas pueden brindar orientación sobre detalles de seguridad que, de otro modo, serían inaccesibles para los atacantes.

Este enfoque está diseñado desde el punto de vista de auditoría para realizar un análisis de seguridad exhaustiva de la infraestructura de AWS y se recomienda este enfoque en vez de uno centrado en el atacante.

Fuente y redacción: segu-info.com.ar

Compartir