Traditionel penetrationstest blev designet til lokale netværk. Virker den samme tilgang i skyen?Ikke helt. Skymiljøer introducerer unikke angrebsvektorer - IAM privilegieeskalering, udnyttelse af metadatatjenester, serverløs indsprøjtning og tillidsmisbrug på tværs af konti - der kræver cloud-specifik testmetode. Denne vejledning dækker, hvordan man planlægger, udfører og rapporterer skypenetrationstest på tværs af AWS, Azure og GCP.
Key Takeaways
- Cloud pentesting kræver forskellige færdigheder:Netværksscanning alene savner de mest kritiske skyangrebsvektorer. Cloud-testere har brug for dyb platformsviden.
- IAM er den primære angrebsoverflade:De fleste skybrud involverer identitetskompromis, ikke netværksudnyttelse. Test skal fokusere på IAM-politikker, rolleantagelser og legitimationsstyring.
- Udbyderpolitikker er ændret:AWS kræver ikke længere forhåndsgodkendelse for de fleste tjenester. Azure og GCP har deres egne politikker. Kontroller altid gældende regler før test.
- Automatisk scanning er nødvendig, men utilstrækkelig:Værktøjer som ScoutSuite, Prowler og CloudSploit finder fejlkonfigurationer. Manuel test finder de kreative angrebskæder, som automatiserede værktøjer savner.
Cloud-specifikke angrebsvektorer
| Attack Vector | Beskrivelse | Platform | Indvirkning |
|---|---|---|---|
| IAM Privilegium-eskalering | Udnytter alt for tilladelige IAM-politikker for at få administratoradgang | Alle | Fuld kontokompromis |
| Udnyttelse af instansmetadata | Adgang til IMDS for at stjæle IAM rollelegitimationsoplysninger | AWS (IMDSv1) | Legitimationstyveri, sidebevægelse |
| Tillidsmisbrug på tværs af konti | Udnyttelse af tillidsforhold mellem konti | AWS | Kompromis med flere konti |
| Serverløs injektion | Injicere ondsindet nyttelast gennem hændelsesdata | Alle (Lambda, funktioner) | Kodeudførelse, datatyveri |
| Container Escape | Bryder ud af container for at få adgang til værtsknude | Alle (EKS, AKS, GKE) | Cluster kompromis |
| Lageroptælling | Opdagelse og adgang til forkert konfigurerede offentlige buckets | Alle (S3, Blob, GCS) | Dataeksponering |
| Managed Service Fejlkonfiguration | Udnytter standard- eller svage konfigurationer i PaaS-tjenester | Alle | Dataadgang, tjenestemisbrug |
Skypenetrationstestmetode
Fase 1: Rekognoscering og opregning
Ekstern rekognoscering identificerer offentligt tilgængelige cloud-ressourcer: S3 buckets, Azure Blob-containere, eksponerede API'er, login-portaler og DNS-poster, der afslører cloud-infrastruktur. Intern opregning (med medfølgende legitimationsoplysninger) kortlægger IAM-politikker, roller, servicekonfigurationer og netværksarkitektur. Værktøjer: ScoutSuite, Prowler, CloudMapper, Pacu.
Fase 2: Sårbarhedsidentifikation
Automatiseret scanning identificerer kendte fejlkonfigurationer og sårbarheder: alt for tilladelige IAM-politikker, ukrypteret lagring, eksponering for offentlige netværk, manglende MFA, forældede AMI'er og usikre tjenestekonfigurationer. Manuel analyse identificerer logiske sårbarheder, som automatiserede værktøjer savner: komplekse IAM-politikinteraktioner, tillidsforholdskæder og API-skymisbrug på applikationsniveau.
Fase 3: Udnyttelse
Med eksplicit autorisation forsøger testere at udnytte identificerede sårbarheder til at demonstrere virkninger i den virkelige verden. Cloud-specifik udnyttelse inkluderer: IAM privilegieeskaleringskæder (startende fra lavprivilegerede brugere, eskalerer til admin), SSRF-angreb mod metadatatjenester (udtrækning af IAM legitimationsoplysninger fra EC2 forekomster), udnyttelse på tværs af tjenester (ved brug af kompromitterede Lambda-udbrudsforsøg) og container RDS-forsøg.
Fase 4: Efterudnyttelse og rapportering
Dokumenter hele angrebskæden: indledende adgang, privilegieeskalering, lateral bevægelse og dataadgang. Angiv specifikke afhjælpningstrin for hvert fund, prioriteret efter risiko. Inkluder både de tekniske detaljer (for sikkerhedsteams) og en oversigt over virksomhedens konsekvenser (for ledere). Sky-specifik afhjælpning involverer ofte IAM-politikstramninger, servicekonfigurationsændringer og netværkssegmenteringsjusteringer.
Politikker for udbyderpenetrationstest
| Udbyder | Kræver godkendelse? | Tilladte tjenester | Begrænsninger |
|---|---|---|---|
| AWS | Nej (for de fleste tjenester) | EC2, RDS, Lambda, API Gateway, CloudFront, Aurora, ECS osv. | Ingen DoS-test, ingen DNS-zone, der går mod rute 53 |
| Azure | Underretning påkrævet | VM'er, App Service, Azure SQL, funktioner osv. | Send via Azure sikkerhedsportal, ingen DoS |
| GCP | Ingen | Compute Engine, App Engine, Cloud Functions, GKE osv. | Skal være dit eget projekt, ingen DoS, ingen social engineering |
Anbefalede værktøjer til skypenetrationstest
- Pacu:AWS udnyttelsesramme (open source, modulær, dækker 100+ AWS angrebsteknikker)
- ScoutSuite:Multi-cloud sikkerhedsrevision (AWS, Azure, GCP konfigurationsgennemgang)
- Prowler:AWS vurdering af bedste praksis for sikkerhed (CIS-benchmarks, PCI DSS, HIPAA)
- CloudSploit:Overvågning af cloud-sikkerhedskonfiguration (alle større udbydere)
- Cloudfox:AWS optælling og udnyttelse assistance
- MicroBurst:Azure penetrationstestværktøjssæt
- GCPBucketBrute:GCP opregning af lagerspand
Hvordan Opsio leverer skypenetrationstest
- Cloud-certificerede testere:Vores penetrationstestere har AWS Security Specialty, Azure Security Engineer og OSCP-certificeringer.
- Platformspecifik metode:Testmetodologi tilpasset til hver cloud-udbyders arkitektur og angrebsoverflade.
- IAM-fokuseret test:Dyb analyse af IAM politikker, tillidsforhold og privilegieeskaleringsstier.
- Handlende rapportering:Fund med specifikke afhjælpningstrin, ikke kun sårbarhedslister.
- Udbedringsstøtte:Vi hjælper med at rette det, vi finder - skærpelse af IAM-politikker, stramning af konfigurationer og implementering af sikkerhedskontroller.
Ofte stillede spørgsmål
Hvor ofte skal jeg penetrationsteste mit cloudmiljø?
Som minimum årligt og efter enhver større arkitektonisk ændring (ny kontostruktur, nye tjenester, betydelige applikationsimplementeringer). Organisationer med højrisikoprofiler eller overholdelseskrav (NIS2, PCI DSS) bør teste halvårligt. Kontinuerlig automatiseret scanning (CSPM) bør køre mellem manuelle tests for at fange konfigurationsdrift.
Kan penetrationstest forårsage udfald i mit cloudmiljø?
Skypenetrationstest med korrekt omfang er designet til at undgå forstyrrelser. Testning udføres i koordination med dit team, med aftalte scope-grænser og med etablerede kommunikationskanaler for enhver uventet påvirkning. Opsio bruger sikre testteknikker og opererer under strenge regler for engagement for at forhindre produktionspåvirkning.
Hvad er forskellen mellem skypenetrationstest og en cloud-sikkerhedsvurdering?
En cloud-sikkerhedsvurdering evaluerer konfiguration og overholdelse gennem scanning og gennemgang. Penetrationstest går videre - den forsøger at udnytte sårbarheder til at demonstrere virkningen af angreb fra den virkelige verden. Vurdering finder fejlkonfigurationer; penetrationstest beviser, at de kan udnyttes og viser, hvad en angriber kan opnå. Begge er værdifulde og komplementære.
Hvor meget koster skypenetrationstest?
Skypenetrationstest koster typisk $15.000-40.000 pr. engagement afhængigt af omfang (antal konti, tjenester og kompleksitet). Mindre, fokuserede tests (enkelt applikation eller konto) kan være $8.000-15.000. Opsio giver tilbud til faste priser baseret på omfangsvurdering, så du kender omkostningerne, før du forpligter dig.