Aslında, Bulut Güvenliği İttifakının Bulut Bilişime Yönelik En Büyük Tehditler 2024 Raporu, aşağıdaki endişeleri ilk üçte sıralıyor:
- Yanlış yapılandırma ve yetersiz değişiklik kontrolü
- Kimlik ve Erişim Yönetimi (IAM)
- Güvenli Olmayan Arayüzler ve API’ler
AWS ortamlarını korumak için HackerOne, Hizmet Olarak Pentest (PTaaS) modeli aracılığıyla sunulan, metodolojiye dayalı bir AWS güvenlik yapılandırması incelemesi sunar. Bu yaklaşım, kapsamlı, uçtan uca bir değerlendirme için kuruluşları kapsamlı bir şekilde incelenmiş küresel güvenlik araştırmacıları topluluğuyla birleştirir. Topluluk odaklı bir PTaaS kullanarak sık sık özel incelemeler gerçekleştirmek, AWS kaynak yapılandırmalarınızdaki güvenlik açıklarını bulmak açısından çok önemlidir.
AWS Güvenlik Yapılandırması Test Metodolojileri
HackerOne’ın AWS test metodolojileri, CIS Amazon Web Services Foundations Benchmark Level One ve AWS Well-Architected Framework Güvenlik Sütunu ilkelerine dayanmaktadır. Ayrıca test süreçlerimiz, CREST sertifikasyonu/akreditasyonu için gerekli standartlara uygun olarak AWS dahil çeşitli bulut ortamlarında kapsamlı ve güvenilir değerlendirmeler sağlar. AWS kullanan kuruluşlar artık AWS bulut ortamınızdaki ürün ve hizmetlere özel güvenlik açıkları konusunda uzmanlaşmış, kanıtlanmış uzmanlığa sahip yüksek vasıflı AWS Sertifikalı uzmanlarla risklere ve saldırılara karşı daha iyi koruma sağlayabilir.
HackerOne’ın her güvenlik yapılandırması inceleme çalışması, bir kuruluşun bulut altyapısı güvenliği açısından en kritik olan AWS hizmetlerine ve yapılandırmalarına odaklanır. Bunlar arasında şunlar yer alır:
Yaygın AWS Güvenlik Açıkları
AWS, güvenlik sorumluluklarının AWS ile müşterileri arasındaki dağılımını özetleyen bir Paylaşılan Sorumluluk Modeli ile çalışır. AWS, temel bulut altyapısının güvenliğinden sorumludur; müşteriler ise AWS ortamındaki verilerinin, uygulamalarının ve yapılandırmalarının güvenliğinden sorumludur. AWS hizmetlerinin ve bunların yapılandırmalarının çok sayıda potansiyel kombinasyonu nedeniyle, yanlış yapılandırmalardan kaynaklanabilecek güvenlik açıklarının gözden kaçırılması kolay olabilir.
IAM Yanlış Yapılandırmaları
Hizmet Kontrol Politikaları (SCP) kuruluş çapında geniş izin sınırları belirleyin. Bir kuruluşa, kuruluş birimine veya hesaba verilebilecek maksimum izin düzeyini tanımlarlar. SCP’ler, AWS ortamınızda nelere erişilebileceğine veya nelerin değiştirilebileceğine ilişkin sınırlamalar uygular.
Varsayılan olarak, Tam AWS Erişimi politika kuruluş genelinde uygulanır ve belirli kısıtlamalar yapılandırılmadığı sürece tüm varlıklara sınırsız erişim sağlar.
Öte yandan, Kimlik ve Erişim Yönetimi (IAM) hizmet politikaları, belirli bir kullanıcı grubu içindeki kullanıcıların, rollerin ve kullanıcıların izinlerini tanımlar. IAM, SCP’ler tarafından belirlenen sınırlar dahilinde daha hassas ve özelleştirilmiş erişim kontrolüne olanak tanır. eksikliği Çok Faktörlü Kimlik Doğrulama (MFA) ve parola/erişim anahtarının yanlış yönetimi, AWS hesabınıza yetkisiz erişime neden olabilir.
Aşırı izin yapılandırmaları kaynaklara yetkisiz erişime de yol açabilir. Örneğin joker karakterlerin yanlış kullanımı (*) bu politikalar dahilinde ayrıcalık yükseltme saldırı vektörlerine yol açabilir. Örnek vermek gerekirse, aşağıdaki politika dosyası JSON bloğu kötüye kullanılabilir:
| “PolitikaBelgesi”: { “Sürüm”: “2012-10-17”, “İfade”: [ { “Action”: [ “iam:AttachUserPolicy” ], “Kaynak”: [ “arn:aws:iam::321123321123:user/*” ], “Efekt”: “İzin ver” } ] } |
Bu politika yapılandırması, AWS hesabındaki tüm kullanıcılar için iam:AttachUserPolicy eylemine izin verir. Bu, herhangi bir kullanıcının kendisi de dahil olmak üzere hesaptaki herhangi bir başka kullanıcıya herhangi bir IAM politikasını iliştirebileceği anlamına gelir. Bu aşırı izin yapılandırmasıyla kullanıcı, yönetim işlevselliğini içeren bir politikayı kendisine atayabilir.
HackerOne güvenlik incelemesi sırasında IAM politikaları, en az ayrıcalık ilkesine uygunluğu doğrulamak için kapsamlı bir şekilde değerlendirilecek ve kullanıcılara ve hizmetlere yalnızca belirli rolleri ve işlevleri için gereken minimum izinlerin sağlanması sağlanacak.
Güvenlik Grubu ve Ağ ACL Yanlış Yapılandırmaları
A güvenlik grubu gibi AWS kaynakları için sanal bir güvenlik duvarı görevi görür Elastik Bulut Bilişim (EC2) örnekleri, kural kümelerine göre gelen ve giden trafiği kontrol ederek yönetebilirsiniz. O halde bir ağ erişim kontrol listesi (ACL) gelen ve giden kuralları Amazon’un tamamına uygular Sanal Özel Bulut (VPC) alt ağ veya alt ağ grubu.
Her iki güvenlik önleminin kuralları, trafik kaynağı ve hedefi, protokol ve bağlantı noktası veya bağlantı noktası aralığı gibi kriterlere göre trafiğe izin vermenizi veya reddetmenizi sağlar.
Hem güvenlik gruplarının hem de ACL’lerin yanlış yapılandırılması, filtrelenmemiş giriş ve çıkış ağ trafiğine yol açarak dahili uygulamalar veya veritabanları gibi kritik sistemlere yetkisiz erişime yol açabilir. Aşırı kısıtlayıcı yapılandırmalar, meşru kullanıcıların veya kaynakların gerekli kaynaklara erişmesini engelleyebilecekleri kadar sorunlu da olabilir.
HackerOne güvenlik değerlendirmesinin bir parçası olarak, Güvenlik Grupları ve Ağ Erişim Kontrol Listeleri (NACL’ler), olası yanlış yapılandırmaları belirlemek için titizlikle değerlendirilecektir. İnceleme, bu ağ kontrollerinin en az ayrıcalık ilkesini uygulamasını, kaynaklar için sağlam bir güvenlik duruşu sağlamak amacıyla yetkisiz erişimi engellerken yalnızca gerekli trafiğe izin vermesini sağlamaya odaklanacak.
S3 Yanlış Yapılandırmaları
Amazon Basit Depolama Hizmeti (S3), nesneleri depolamak için kapsayıcı olarak “kovaları” kullanan bir AWS veri depolama hizmetidir.
Varsayılan olarak yeni paketler, bunların erişim noktaları ve depolanan nesneler varsayılan olarak özeldir. Erişim kontrol listeleri, erişim noktası politikaları ve paket politikaları aracılığıyla paketlere genel erişim verilir.
Ancak, özel paketlerin istemeden herkese açık hale getirilmesi veya hassas bilgilerin yanlışlıkla herkese açık olması amaçlanan bir pakette saklanması, hassas verilerin paketin URL’sini alabilen herkesin eline geçmesine neden olabilir ve bu da önemli veri ihlallerine yol açabilir. Uygun kimlik doğrulama, şifreleme ve işlem izni yapılandırmaları olmadan özel paketlerin bile güvenliği ihlal edilebilir.
Bu tür veri ihlallerinin sonuçları mali kayıp, yasal sonuçlar, mevzuata uygunluk ihlalleri ve bir kuruluşun itibarının zarar görmesi ile sonuçlanabilir.
S3 klasörleri, alt alan devralmayı gerçekleştirmek için de kullanılabilir. Bir alt etki alanı artık kullanılmayan bir hizmete işaret ettiğinde alt etki alanı devralma güvenlik açığı oluşur. Bu durumda bu hizmet S3’tür.
Bir paket oluştururken verilen ad, uç nokta olarak adlandırılan bir Amazon S3 URL’si ile birleştirilir.
Paketlere web üzerinden erişilebildiği için resimler, videolar ve hatta statik web sitelerinin tamamı gibi web varlıklarını depolamak için kullanılabilirler. Web sitelerini barındıracak şekilde yapılandırılan paketler için paket adı, bölgeye özgü uç noktanın alt alanı olarak kullanılır. Bölgenize bağlı olarak web sitesi uç noktası, bölge kısmında sınırlayıcı karakter olarak bir nokta veya kısa çizgi kullanır; örneğin:
- http://[bucket-name].[s3-website–region].amazonaws.com
- http://[bucket-name].[s3-website.region].amazonaws.com
Talep edildikten sonra paket adı ayrılır ve orijinal paket silinmediği sürece geri alınamaz. Daha sonra standart S3 URL’sine isteğe bağlı bir alt alan adı takma adı vermek için bir DNS CNAME kaydı oluşturulabilir.
Bir kuruluş bir paketi sildiğinde ve ilgili paket adı serbest bırakıldığında, CNAME kaydı da kaldırılmazsa herkes paket adını geri alabilir ve orijinal kuruluşun alt alan adı altında isteğe bağlı içerik barındırabilir. Bu aynı zamanda harici referansların içeriği hâlâ güvenliği ihlal edilmiş olan alt alandan aldığı durumlarda ek güvenlik açıklarına da yol açabilir.
HackerOne’ın güvenlik değerlendirmesi, potansiyel yanlış yapılandırmaları tespit etmek için S3 paket yapılandırmalarını inceleyecek ve bulutta depolanan hassas verileri korumak için uygun erişim kontrollerinin, şifreleme ayarlarının ve sürüm oluşturmanın mevcut olmasını sağlayacak.
CloudTrail Yanlış Yapılandırmaları
AWS BulutTrail AWS hesabınızdaki her kaynağa yapılan her API çağrısını takip edip günlüğe kaydeder, böylece dahili politikalara ve düzenleyici standartlara uygunluğu sağlayarak güvenliği artırır. Sürekli izleme sağlar ve şüpheli etkinlikleri tanımlamanıza olanak tanıyan olayların günlük dosyalarını oluşturur.
CloudTrail otomatik olarak etkinleştirilirken, varsayılan yapılandırma yalnızca tek bir olay türüne ait son 90 günlük olayların günlük dosyasını sağlayacaktır. Günlük dosyalarını kalıcı kılmak, tüm bölgelerdeki olayları günlüğe kaydetmek, ek olay türlerini günlüğe kaydetmek, günlük dosyası bütünlüğünü etkinleştirmek ve depolandıkları S3 klasörlerine erişim kontrolünü uygulamak için manuel yapılandırmalar yapılmalıdır.
AWS Yapılandırma İncelemesi En İyi Uygulamaları
Dikkatli Kapsam Belirleme
Başarılı bir sızma testi için doğru kapsama sahip olmak çok önemlidir; neyin test edildiği, nasıl test edildiği kadar önemli olabilir. Bir AWS ortamı, çeşitli kaynakların ve hizmetlerin dağıtıldığı geniş bir ortam olabilir. AWS Config incelemesini bulutta barındırılan sistemler için hem dahili ağ hem de web uygulaması sızma testiyle birleştirmek kapsamlı bir güvenlik değerlendirmesi sunar. Bu entegre yaklaşım, pentester’lara çevreye ilişkin bütünsel bir bakış açısı sağlayarak daha etkili ve kapsamlı sonuçlara yol açar.
Bulut ortamınızdaki hedefleri stratejik olarak seçerek, en kritik bulut varlıklarınıza kaliteli zaman ayrılabilmesini sağlayabilirsiniz. Bu iyileştirme, önemsiz bir yapılandırma incelemesi ile yüksek etkili güvenlik açıklarını keşfeden değerli bir inceleme arasındaki fark anlamına gelebilir. HackerOne, hangilerinin dahil edileceği konusunda rehberlik sağlamak için varlıklarınızı değerlendirir ve özel gereksinimlerinize göre uyarlanmış bir fiyat teklifi sunar.
Beceriye Dayalı Test Kullanıcısı Eşleştirmesi
Geleneksel danışmanlıklar genellikle genel becerilere sahip şirket içi pentester’lara güvenir. Ancak AWS yapılandırma incelemesi, AWS ortamı ve bulut güvenliği uygulamalarına ilişkin uzmanlık bilgisi gerektirir.
HackerOne ile müşteriler, AWS’ye özel çok çeşitli beceriler, sertifikalar ve deneyimler sunan, seçkin, denetlenmiş güvenlik araştırmacılarından oluşan çeşitli bir havuza erişim kazanır. HackerOne platformu, her araştırmacının beceri setini geçmiş performanslarına göre takip ediyor ve her katılım için en uygun araştırmacıları eşleştiriyor. Topluluk odaklı PTaaS yaklaşımı, kapsamlı kapsam, çok yönlülük ve AWS ortamlarınızın ürün ve hizmetlerine göre uyarlanmış en yüksek kalitede sonuçları sunar.
Vaka Çalışması: “Düzensiz” Bir İhlal
2019’da eski bir AWS mühendisi olan Paige Thompson, yanlış yapılandırılmış bir güvenlik açığından yararlandı. web uygulaması güvenlik duvarı (WAF) Capital One’ın EC2 örneğini korumak. Bu durum 106 milyon kişinin hassas özel kredi kartı başvuru verilerinin sızdırılmasına yol açtı.
WAF’ın yanlış yapılandırılması nedeniyle harici kötü amaçlı istekler dahili kaynaklara ulaşabildi. Çevrimiçi ortamda “erratic” kullanıcı adını kullanan Thompson, güvenlik duvarını aştığında AWS meta veri hizmetini sorgulamayı başardı. Meta veri hizmeti, rol için geçici bir erişim belirteci de dahil olmak üzere, EC2 örneğine eklenen IAM rolüyle ilgili bilgileri döndürdü. Kullanıcı rolü, Thompson’ın hassas verileri içeren S3 klasörlerini listelemesine ve bunlara erişmesine izin veren aşırı ayrıcalıklara sahip.
Veriler şifrelenmiş olsa da bu rol aynı zamanda şifrenin çözülmesine de izin verdi ve bu da Thompson’ın yaklaşık 700 S3 paketi değerinde kredi kartı başvuru verisi indirmesine yol açtı.
AWS Bulut İncelemesi için HackerOne PTaaS
HackerOne’ı pentest ortağınız olarak seçerek kuruluşunuz topluluk odaklı PTaaS modelinden tam olarak yararlanabilir. HackerOne Platformu, risk azaltmada en yüksek yatırım getirisini sağlamak için tüm sızma testi sürecini kolaylaştırır.
HackerOne’ın AWS Güvenlik Merkezi’ne entegrasyonu sayesinde AWS müşterileri, tüm güvenlik açığı bulgularını yönetim ve önceliklendirme için tek bir konsolda senkronize edebilir. Güvenlik Merkezi bulguları aynı zamanda kopyaları eşleştirmek, durumu anlamak ve iyileştirmeyi planlamak için HackerOne topluluğu tarafından bulunanlarla da karşılaştırılabilir.
Çeşitli AWS Sertifikalı güvenlik araştırmacılarından oluşan topluluğumuz, AWS bulut ortamı yapılandırmalarınızı güvenlik açıklarına karşı kapsamlı bir şekilde denetlemek için gereken uzmanlığı sunar. Saldırı yüzeyi kapsamınızı genişletecek ve buluttaki yanlış yapılandırmalardan kaynaklanan güvenlik açıklarını giderebileceksiniz. Çeşitli test uzmanlığı bulmak için pentest tedarikçilerini değiştirmek yerine, hepsini bu yetenekli sertifikalı bilgisayar korsanları topluluğunda bulabilirsiniz. Başlamak için bugün HackerOne ekibiyle iletişime geçin.