Penetrationstesta en molnmiljö

Penetrationstesta en molnmiljö

Konfigurationsfel är de primära orsakerna som leder till intrång i molnmiljöer.

Utöver de finansiella och tekniska fördelarna, så har molnlösningar generellt blivit mogna och välutvecklade, och erbjuder en rad tjänster som kan möta varje typ av behov. Resultatet är att företag av alla storlekar i allt högre grad vänder sig till dessa lösningar. Oavsett om det är hela eller en del av internettjänsten, är det oundvikligt att känslig information och kritiska processer förekommer i molntjänster. Tillgång till data genom molnet innebär större exponering. Det är därför väsentligt att säkerställa att denna plattform inte försämrar den övergripande säkerhetsnivån på företaget.

Olikt ett ”klassiskt” pentest för vilket miljön är klart definierad (webb, internt nätverk, etc.), kommer ett intrångstest i en molnmiljö ofta att bestå av dels ett externt webbintrång (tjänster som är exponerade på nätet) samt ett internt intrång, dvs inom molnet självt. Det här beror på det sätt som publika tjänster som erbjuds i molnet har utformats : informationssystem är placerade, helt eller delvis, inom ett moln som är tillgängligt via en internetanslutning. Därför kommer testet i allmänhet, i ett första steg, att bestå i att utföra ett externt (webb) intrångstest, under vilket vi försöker infiltrera kundens moln genom de olika delar som är exponerade på internet (servrar, lagringsutrymmen etc.). Om vi lyckas kommer vi att utföra ett internt intrångstest för att granska molnet och upptäcka de olika existerande sårbarheterna.

Typiskt består den första delen av penetrationstestet av att söka efter och utnyttja vanliga sårbarheter med användning av konventionella verktyg. Bara när vi kan penetrera kundens moln använder vi verktyg som är mer specifika för varje CSP (molntjänstleverantör).

Om vi bara utgår ifrån attacker som är specifika för aktuell molnmiljö är svaret ja, tillvägagångssätten är helt olika från en CSP till en annan. Det beror på att grunduppsättning för lösningarna som förslås av molntjänstleverantörer skiljer sig åt väsentligt, beroende på om det är Amazon, Google eller Microsoft för att nämna några.

Majoriteten av sårbarheterna som utnyttjats under ett penetrationstest orsakas vanligen av oaktsamhet hos de som är ansvariga för konfigurationen av molnet. Det är vanligt att kunder som abonnerar på ett publikt molnerbjudande, av misstag, förutsätter att allt de konfigurerar i molnet är skyddat från externa attacker. Resultatet av det blir att vi ser en minskad vaksamhet från kundens sida kring allt som har att göra med IT-säkerhet på det som tillämpas i molnmiljöer. Detta visar sig i att det tyärr inte är ovanligt att vi under våra granskningar finner att konfigurationsfel skapar säkerhetshål i kundens moln, vilket leder till små eller i värsta fall stora säkerhetsrisker.

För att säkra sina molnmiljöer kan företag agera på flera nivåer. Till att börja med är det väsentligt för de som är ansvariga för infrastrukturen att ta ett kliv tillbaka från behovet att ha allt eller delar av infrastrukturen i molnet. Vi ser en ”modetrend” att hålla fast vid molntjänster för bättre flexibilitet, tillgänglighet, eller till och med (felaktigt) avlasta IT-säkerheten. Det valet är inte med nödvändighet försvarbart, och det kan till och med ha motsatt effekt: att göra infrastrukturen mer sårbar än tidigare. Anta att infrastrukturen har migrerats helt eller delvis, och kunden är angelägen att höja säkerhetsnivån. I detta fall måste den konfigurera alla sina tjänster enligt acceptabla säkerhetsrutiner, som t ex principen att ha minsta möjliga behörigheter för allt som rör identiteter och access.

Det är svårt att ge ett precist svar eftersom varje miljö är olik den andra, och de nödvändiga lösningarna från ett område till ett annat kan ändras fullständigt. Icke desto mindre, måste vissa gemensamma principer respekteras, som t ex tillämpningen av principen om lägsta möjliga behörighet (som nämns ovan), god hantering det inkommande flödet (vitlistning av IP-källor, att stänga onödiga portar, realtidsövervakning av trafiken etc.), eller installationen av skyddslösningar (t ex WAF) eller nivån på användarnas maskiner (HIDS/HIPS). Dessa rekommendationer är bara några exempel bland många, och många CSP-specifika lösningar är tillgängliga på de olika marknadsplatserna.

Miljöer som gjorts tillgängliga av molntjänstleverantörer till deras kunder är globalt säkrade som standard. Det finns förstås publika sårbarheter som regelbundet upptäcks av IT-säkerhetsanalytiker, men dessa kan mycket snabbt tas omhand och korrigeras av molntjänstleverantörerna. Idag har alla molntjänster som är tillgängliga för kunder viss inbyggd säkerhet i grunddesignen. Emellertid måste kunderna känna till hur man konfigurerar dem korrekt genom att integrera de rätta säkerhetsprinciperna.

Rekomendationer som tillämpas för användare av en lokal infrastruktur kan också tillämpas för molnanvändare, som t ex att använda starka lösenord och installera nödvändiga uppdateringar. På så sätt kan, om en attackerare lyckas nå en molnanvändares dator, effekterna av det minskas genom tillämpningen av detta.