I test di penetrazione tradizionali sono stati progettati per le reti locali. Lo stesso approccio funziona nel cloud?Non del tutto. Gli ambienti cloud introducono vettori di attacco unici (escalation dei privilegi IAM, sfruttamento dei servizi di metadati, iniezione serverless e abuso di fiducia tra account) che richiedono una metodologia di test specifica per il cloud. Questa guida spiega come pianificare, eseguire e segnalare i test di penetrazione del cloud su AWS, Azure e GCP.
Punti chiave
- Il pentesting sul cloud richiede competenze diverse:La sola scansione della rete non individua i vettori di attacco cloud più critici. I tester del cloud necessitano di una conoscenza approfondita della piattaforma.
- IAM è la superficie di attacco principale:La maggior parte delle violazioni del cloud comportano la compromissione dell’identità, non lo sfruttamento della rete. I test devono concentrarsi sulle policy IAM, sui presupposti dei ruoli e sulla gestione delle credenziali.
- Le politiche del fornitore sono cambiate:AWS non richiede più la pre-approvazione per la maggior parte dei servizi. Azure e GCP hanno le proprie politiche. Verificare sempre le regole attuali prima di eseguire il test.
- La scansione automatizzata è necessaria ma non sufficiente:Strumenti come ScoutSuite, Prowler e CloudSploit rilevano configurazioni errate. I test manuali individuano le catene di attacchi creativi che gli strumenti automatizzati non riescono a individuare.
Vettori di attacco specifici del cloud
| Vettore di attacco | Descrizione | Piattaforma | Impatto |
|---|---|---|---|
| IAM Escalation dei privilegi | Sfruttare policy IAM eccessivamente permissive per ottenere l'accesso amministrativo | Tutti | Compromissione dell'intero account |
| Sfruttamento dei metadati dell'istanza | Accesso a IMDS per rubare le credenziali del ruolo IAM | AWS (IMDSv1) | Furto di credenziali, spostamento laterale |
| Abuso di trust su più account | Sfruttare le relazioni di fiducia tra gli account | AWS | Compromissione di più account |
| Iniezione senza server | Iniezione di payload dannosi attraverso i dati degli eventi | Tutto (Lambda, Funzioni) | Esecuzione di codice, furto di dati |
| Fuga dal container | Uscita dal contenitore per accedere al nodo host | Tutti (EKS, AKS, GKE) | Compromissione del cluster |
| Enumerazione dello spazio di archiviazione | Individuazione e accesso a bucket pubblici configurati in modo errato | Tutto (S3, BLOB, GCS) | Esposizione dei dati |
| Configurazione errata del servizio gestito | Sfruttare configurazioni predefinite o deboli nei servizi PaaS | Tutti | Accesso ai dati, abuso del servizio |
Metodologia di test di penetrazione del cloud
Fase 1: Ricognizione ed enumerazione
La ricognizione esterna identifica le risorse cloud accessibili pubblicamente: bucket S3, contenitori BLOB Azure, API esposte, portali di accesso e record DNS che rivelano l'infrastruttura cloud. L'enumerazione interna (con le credenziali fornite) mappa le policy, i ruoli, le configurazioni dei servizi e l'architettura di rete di IAM. Strumenti: ScoutSuite, Prowler, CloudMapper, Pacu.
Fase 2: Identificazione della vulnerabilità
La scansione automatizzata identifica errate configurazioni e vulnerabilità note: policy IAM eccessivamente permissive, storage non crittografato, esposizione alla rete pubblica, MFA mancante, AMI obsolete e configurazioni di servizi non sicure. L'analisi manuale identifica le vulnerabilità logiche che gli strumenti automatizzati non rilevano: complesse interazioni tra policy IAM, catene di relazioni di fiducia e abusi API cloud a livello di applicazione.
Fase 3: Sfruttamento
Con un'autorizzazione esplicita, i tester tentano di sfruttare le vulnerabilità identificate per dimostrare l'impatto nel mondo reale. Lo sfruttamento specifico del cloud include: catene di escalation dei privilegi IAM (a partire dall'utente con privilegi bassi, passando all'amministratore), attacchi SSRF contro servizi di metadati (estrazione delle credenziali IAM dalle istanze EC2), sfruttamento tra servizi (utilizzando Lambda compromesso per accedere ai dati RDS) e tentativi di breakout del contenitore.
Fase 4: post-sfruttamento e rendicontazione
Documenta l'intera catena di attacco: accesso iniziale, escalation dei privilegi, movimento laterale e accesso ai dati. Fornire passaggi di riparazione specifici per ciascun risultato, ordinati in base al rischio. Includere sia i dettagli tecnici (per i team di sicurezza) sia il riepilogo dell'impatto aziendale (per i dirigenti). La riparazione specifica del cloud spesso comporta un rafforzamento delle policy IAM, modifiche alla configurazione del servizio e aggiustamenti della segmentazione della rete.
Politiche di test di penetrazione del provider
| Fornitore | Approvazione richiesta? | Servizi consentiti | Restrizioni |
|---|---|---|---|
| AWS | No (per la maggior parte dei servizi) | EC2, RDS, Lambda, API Gateway, CloudFront, Aurora, ECS, ecc. | Nessun test DoS, nessuna zona DNS che cammina contro la Route 53 |
| Azure | Notifica richiesta | VM, servizio app, Azure SQL, funzioni e così via. | Invia tramite il portale di sicurezza Azure, senza DoS |
| GCP | NO | Compute Engine, App Engine, Cloud Functions, GKE, ecc. | Deve essere un tuo progetto, niente DoS, niente ingegneria sociale |
Strumenti consigliati per i test di penetrazione del cloud
- Pacu:AWS framework di sfruttamento (open source, modulare, copre oltre 100 tecniche di attacco AWS)
- Scout Suite:Controllo della sicurezza multi-cloud (revisione della configurazione AWS, Azure, GCP)
- Cacciatore:AWS valutazione delle migliori pratiche di sicurezza (benchmark CIS, PCI DSS, HIPAA)
- CloudSploit:Monitoraggio della configurazione della sicurezza nel cloud (tutti i principali fornitori)
- Cloudfox:AWS assistenza all'enumerazione e allo sfruttamento
- MicroBurst:Azure toolkit per test di penetrazione
- GCPBucketBrute:GCP enumerazione del bucket di archiviazione
In che modo Opsio fornisce test di penetrazione del cloud
- Tester certificati cloud:I nostri penetration tester possiedono le certificazioni AWS Security Specialty, Azure Security Engineer e OSCP.
- Metodologia specifica della piattaforma:Metodologia di test personalizzata per l'architettura e la superficie di attacco di ciascun fornitore di servizi cloud.
- Test mirati su IAM:Analisi approfondita delle policy IAM, delle relazioni di fiducia e dei percorsi di escalation dei privilegi.
- Reporting utilizzabile:Risultati con passaggi di riparazione specifici, non solo elenchi di vulnerabilità.
- Supporto alla bonifica:Aiutiamo a correggere ciò che troviamo: rafforzando le policy IAM, rafforzando le configurazioni e implementando controlli di sicurezza.
Domande frequenti
Con quale frequenza dovrei testare la penetrazione del mio ambiente cloud?
Almeno una volta all'anno e dopo qualsiasi modifica architetturale importante (nuova struttura dell'account, nuovi servizi, implementazioni significative di applicazioni). Le organizzazioni con profili ad alto rischio o requisiti di conformità (NIS2, PCI DSS) dovrebbero eseguire test semestralmente. La scansione automatizzata continua (CSPM) deve essere eseguita tra i test manuali per individuare le deviazioni della configurazione.
I test di penetrazione possono causare interruzioni nel mio ambiente cloud?
I test di penetrazione del cloud con ambito adeguato sono progettati per evitare interruzioni. I test vengono condotti in coordinamento con il tuo team, con limiti di ambito concordati e con canali di comunicazione stabiliti per qualsiasi impatto imprevisto. Opsio utilizza tecniche di test sicure e opera secondo rigide regole di impegno per prevenire l'impatto sulla produzione.
Qual è la differenza tra il test di penetrazione del cloud e una valutazione della sicurezza del cloud?
Una valutazione della sicurezza cloud valuta la configurazione e la conformità attraverso la scansione e la revisione. I test di penetrazione vanno oltre: tentano di sfruttare le vulnerabilità per dimostrare l’impatto di un attacco nel mondo reale. La valutazione rileva configurazioni errate; i test di penetrazione dimostrano che sono sfruttabili e mostrano cosa potrebbe ottenere un utente malintenzionato. Entrambi sono preziosi e complementari.
Quanto costa il test di penetrazione del cloud?
I test di penetrazione del cloud in genere costano $ 15.000-40.000 per impegno a seconda dell'ambito (numero di account, servizi e complessità). Test più piccoli e mirati (applicazione o account singolo) possono costare $ 8.000-15.000. Opsio fornisce preventivi a prezzo fisso basati sulla valutazione dell'ambito in modo da conoscere il costo prima di impegnarsi.