Cloud Pentesting – Sicherheit in Cloud Infrastrukturen

SEC Consult hilft Ihnen bei der Aufdeckung von Angriffsvektoren in Ihrer Cloud- und Container-Infrastruktur. Mit unseren ausgefeilten Exploits und unserer Erfahrung decken wir Schwachstellen, Fehlkonfigurationen, Wege zur Privilegienerweiterung, seitliche Bewegungen zwischen Umgebungen und sogar Einbrüche in die Infrastruktur vor Ort auf.

SEC Consult gewährleistet den Schutz Ihres Unternehmens und Ihrer EndbenutzerInnen, indem die Sicherheit von Cloud- und Container Infrastrukturen genauen Analysen unterzogen werden. Dabei stützen wir uns auf bewährte Methoden der IT-Branche.

Das Ziel unserer Penetrationstest ist ihre Cloud Infrastruktur auf Schwachstelle und Fehlkonfigurationen hin zu untersuchen. Dabei legen wir unseren Fokus auf die Simulation von echten Angriffen und kombinieren unterschiedliche Sicherheitslücken in der Cloud mittels Privilege Escalation und Lateral Movement und so die echten Bewegungsmuster eines Angreifers zu simulieren. 

Unsere erfahrenen Sicherheitsberater unterstützen Sie bei der gezielten Schwachstellenanalyse in der Cloud gerne durch Penetrationstests bei allen gängigen Cloud Hyperscalern, wie Azure, AWS oder GCP. Des Weiteren führen wir ebenfalls dedizierte Kubernetes Penetrationstest und Analysen von Docker durch.

Cloud Security von Experten

Sie sind dabei in die Cloud zu migrieren oder Sie haben diesen Schritt bereits vollzogen? Dann haben Sie sicher festgestellt, dass eine Vielzahl neuer Herausforderungen auf Sie wartet - und viele davon betreffen die Cybersicherheit. Die beste Option, um in der Cloud sicher zu bleiben, sind Cybersecurity-Experten, die Sie auf diesem Weg begleiten. SEC Consult kann Sie unterstützen.

Unsere Expertise

Unsere erfahrenen Cloud Penetrationstester werden können auf über 100 Cloud Penetrationstests pro Jahr zurückgreifen und verfeinern ihr können durch die führenden Zertifizierungen und externe und interne Trainings in dieser Branche. Der Aufbau unserer Expertise im Bereich Cloud Security steht für uns an oberster Stelle, um so Angreifern immer einen Schritt voraus zu sein. Dadurch entdecken unsere Experten Schwachstellen in Ihrer Infrastruktur bevor Angreifer es tun. Unser Team verfügt unter anderem über die folgenden Zertifizierungen:

Ablauf eines Cloud Penetrationstests

Ein wichtiger Aspekt bei unserer Arbeit ist es, Ihnen das Wissen zu vermitteln, wie reale Angriffe ablaufen und Maßnahmen an die Hand zu geben um Gefahren und Schwachstellen effektiv zu mittigeren. Daher legen wir einen großen Fokus darauf Wissen in verständlicher Form weiterzugeben. Daher zeigen wir Ihnen im folgenden Cloud Live Hacking gerne, wie Angriffe in der Cloud ablaufen und verschiedene Angriffstechniken kombiniert werden.

Unsere erfahrenen Sicherheitsberater gehen in den von uns durchgeühfrten Cloud Penetrationstests unter anderem auf die folgenden Schwachstellenklassen ein:

  • Unsicheres Identity und Access Management
  • Preisgabe sensibler Information in Deployments oder Umgebungsvariablen
  • Öffentliche Erreichbarkeit von Cloud Ressourcen, wie Storage Accounts
  • Einsatz veralteter Software in Virtuellen Maschinen
  • Unsichere Handhabung von Source-Code bei Serverless Computing

Dabei legen wir einen hohen Wert auf ein ganzheitliches Bild und führen Angriffe auf die Dataplane und die Controlplane ihrer Cloud Infrastruktur durch.

 

Plane

Beschreibung

Beispiele für gängige Schwachstellen

Controlplane

Unter der Controlplane versteht sich in der Cloud die Schnittstellen für die Konfiguration von Ressourcen und Diensten innerhalb der Cloud, welche vom Anbieter bereitgestellt werden.
  • Direkter Zugriff auf Metadata Service von VMs
  • Fehlendes Logging auf Ressourcen Ebene
  • Unsichere IAM Policy

Dataplane

Bei der Dataplane handelt es sich um die Interaktionsmöglichkeiten die Ressourcen in Ihrer Infrastruktur bereitstellen. Dies können Daten auf einem Storage Bucket sein oder die API einer Function.
  • Öffentlicher Zugriff auf Ressorucen
  • Secrets in Deployment History
  • Unsichere Schreibberechtigungen auf Lamba Code

FAQ – Frequently Asked Questions

Bei der Assuemd Breach Methode wird generell davon ausgegangen, dass ein Angreifer es geschafft hat die ersten Schutzmaßnahmen eines Unternehmens zu überwinden und mit gültigen Benutzerdaten im internen Netzwerk ist. Bei einem Cloud Penetrationstest bedeutet dies der Security Consultant erhält Zugriff zu niedrig privilegierten Benutzerdaten, mit welchen er mit der Cloud Infrastruktur des Kunden interagieren kann. Dies können unterschiedliche Arten von Benutzerkonten sein.

  • Dedizierte Viewer/Reader-Only Rolle
  • Normaler Benutzer-Account
  • Service-Account einer Cloud-Ressource, wie einer VM

Aus dieser Perspektive beginnt der Cloud Penetrationstester nun die Infrastruktur zu enumerieren und Fehlkonfigurationen zu identifizieren. Aus der Kombination von unterschiedlichen Fehlkonfigurationen lassen sich dann Schwachstellen bauen, welche genutzt werden können, um sich in der Cloud Umgebung weiter vorzuarbeiten.

Nein, alle Cloud-Anbieter folgen vielmehr einer Form des "Shared Responsibility Models". Das bedeutet, dass sich die Cloud-Anbieter je nach Art der Ressource um einen Teil der Sicherheit kümmern. Generell gilt jedoch: "If you can touch it, you own it" - oder anders ausgedrückt: Wenn Sie die Einstellungen für eine Ressource ändern oder entscheiden können, was Sie ausführen möchten, liegt die Sicherheit im Allgemeinen in Ihrer Verantwortung. Es ist wichtig, daran zu denken: Auch wenn es sich um einen vollständig verwalteten Dienst handelt, sind Sie für die von ihnen hochgeladenen Daten und die Zugriffsrechte verantwortlich.

AWS, Azure und GCP haben inzwischen die Anforderung abgeschafft, sie über Penetrationstests von Ressourcen in ihrer Infrastruktur zu informieren. Jeder Anbieter hat eine Reihe von Regeln dafür aufgestellt, welche Dienste und welche Aktionen erlaubt sind, ohne dass sie darüber informiert werden müssen. Generell kann man sagen, dass es dem "Modell der geteilten Verantwortung" ähnlich ist. Das bedeutet, dass Penetrationstests auf Ressourcen, die Sie selbst verwalten, erlaubt sind. Auf der anderen Seite erlaubt kein Provider das Testen von Distributed Denial of Service (DDoS) Angriffen oder das Angreifen anderer Kunden. SEC Consult kann Sie dabei unterstützen, die spezifischen Bedingungen zu verstehen, um festzustellen, ob es in Ihrem speziellen Fall notwendig ist, den Cloud-Anbieter zu informieren.

Unsere erfahrenen Sicherheitsberater benötigen in der Regel für die Durchführung des Cloud Penetrationstests jeweils die folgenden Accounts.

Rolle

Beschreibung

ReaderDieser Benutzer sollte Reader/Viewer Berechtigungen auf alle Ressourcen innerhalb des Scopes des Tests besitzen. Dieser Benutzer wird während des Tests zur Identifikation der Ressourcen im Scope und von gängigen Fehlkonfigurationen verwendet.
Niedrig privilegierter BenutzerDieser Benutzer stellt den Startpunkt für die Privilege Escalation während des Penetrationstests dar. Es wird im Rahmen des Penetrationstest angenommen, dass dieser niedrig privilegierte Benutzer von eine Angreifer kompromittiert wurde.

 

Kubernetes als solches stellt eine eigene Infrastruktur dar. Im Rahmen eines Cloud Penetrationstests ist dies eine Infrastruktur innerhalb einer Cloud Infrastruktur. Dies bedeutet aber auch das Kubernetes losgelöst vom Cloud Anbieter getestet werden kann. Andersherum ist dies aber weniger Sinnvoll, wenn Sie die Sicherheit Ihrer Cloud Infrastruktur bewerten wollen und in dieser verwenden sie ein Kubernetes Cluster. Dann sollte dieses Teil des Cloud Penetrationstests sein, da es Privilege Escalation Angriffe auf die Berechtigungen in der Cloud über Kubernetes gibt.

Generel ist es aber jederzeit möglich ein Kubernetes Pentest unabhängig durchzuführen.

Sprechen Sie mit einem unserer Experten

Wenn Sie weitere Fragen haben, wenden Sie sich an einen unserer Spezialisten.