Aslında, Cloud Security Alliance’ın Bulut Bilişim 2024 raporuna yönelik en büyük tehditleri aşağıdaki endişeleri ilk üç olarak sıralıyor:
- Yanlış yapılandırma ve yetersiz değişim kontrolü
- Kimlik ve Erişim Yönetimi (IAM)
- Güvensiz arayüzler ve API’ler
AWS ortamlarını korumak için HackerOne, bir Hizmet Olarak Pentest (PTAAS) modeli aracılığıyla sunulan metodoloji odaklı bir AWS güvenlik yapılandırma incelemesi sunar. Bu yaklaşım, organizasyonları kapsamlı, uçtan uca değerlendirme için küresel bir güvenlik araştırmacısı topluluğunun yoğun bir şekilde denetlenmiş bir kohortuna bağlar. Sık sık özel incelemeler yapmak, topluluk güdümlü bir PTAA’ları kullanmak, AWS kaynak yapılandırmalarınızda güvenlik açıkları bulmak için çok önemlidir.
AWS Güvenlik Yapılandırma Test Metodolojileri
HackerOne’un AWS Test Metodolojileri, CIS Amazon Web Services Foundations Benchmark Seviye Birinci ve AWS iyi arantajlı çerçevenin güvenlik direğinin ilkelerine dayanmaktadır. Ayrıca, test süreçlerimiz CREST sertifikası/akreditasyonu için gereken standartlara bağlıdır ve AWS de dahil olmak üzere çeşitli bulut ortamlarında kapsamlı ve güvenilir değerlendirmeler sağlar. AWS kullanan kuruluşlar artık Riske karşı daha iyi korunabilir ve AWS bulut ortamınızdaki ürün ve hizmetlere özgü güvenlik açıkları konusunda uzmanlaşmış, kanıtlanmış uzmanlıklara sahip yüksek vasıflı AWS sertifikalı uzmanlarla saldırılara karşı daha iyi koruyabilir.
HackerOne tarafından yapılan her güvenlik yapılandırma incelemesi katılım, bir kuruluşun bulut altyapı güvenliği için en kritik olan AWS hizmetlerine ve yapılandırmalarına odaklanır:
Ortak AWS güvenlik açıkları
AWS, AWS ve müşterileri arasındaki güvenlik sorumluluklarının bölünmesini özetleyen ortak bir sorumluluk modeli ile çalışır. AWS, temel bulut altyapısının güvenliğinden sorumludur, müşteriler ise AWS ortamındaki verilerinin, uygulamalarının ve yapılandırmalarının güvenliğinden sorumludur. AWS hizmetlerinin çok sayıda potansiyel kombinasyonu ve konfigürasyonları ile, yanlış yakınlaştırmalardan kaynaklanabilecek güvenlik açıklarını gözden kaçırmak kolay olabilir.
Ben yanlış yapılandırmalar
Hizmet Kontrol Politikaları (SCP) Geniş, organizasyon çapında izin sınırları belirleyin. Bir kuruluşa, kuruluş birimine veya hesaba verilebilecek maksimum izin düzeyini tanımlarlar. SCP’ler, AWS ortamınızda nelerin erişilebileceği veya değiştirilebileceğine dair sınırları uygular.
Varsayılan olarak, Fullawsaccess Politika, belirli kısıtlamalar yapılandırılmadıkça tüm kuruluşlara sınırsız erişim sağlanarak kuruluş çapında uygulanır.
Öte yandan, Kimlik ve Erişim Yönetimi (İam) Hizmet politikaları, belirli bir kullanıcı grubundaki kullanıcıların, rollerin ve kullanıcıların izinlerini tanımlar. IAM, SCP’ler tarafından belirlenen sınırlar içinde daha hassas ve özelleştirilmiş erişim kontrolü sağlar. Eksiklik Çok faktörlü kimlik doğrulama (MFA) ve şifre/erişim anahtarı yanlış yönetimi AWS hesabınıza yetkisiz erişime neden olabilir.
Aşırı izin konfigürasyonları, kaynaklara yetkisiz erişime de yol açabilir. Örneğin, joker karakterlerin yanlış kullanımı (*) Bu politikalar içinde ayrıcalık yükseltme saldırısı vektörlerine yol açabilir. Açıklamak gerekirse, aşağıdaki politika dosyası JSON bloğu istismar edilebilir:
| “PolicyDocument”: { “Sürüm”: “2012-10-17”, “İfade”: [ { “Action”: [ “iam:AttachUserPolicy” ]- “Kaynak”: [ “arn:aws:iam::321123321123:user/*” ]- “Effect”: “İzin Ver” } ] } |
Bu ilke yapılandırması, AWS hesabındaki tüm kullanıcılar için IAM: attebouserPolicy eylemine izin verir. Bu, herhangi bir kullanıcının kendileri de dahil olmak üzere hesaptaki herhangi bir kullanıcıya herhangi bir IAM politikasını ekleyebileceği anlamına gelir. Bu aşırı izin yapılandırmasıyla, bir kullanıcı kendilerine idari işlevselliği içeren bir politika verebilir.
Hackerone Güvenlik İncelemesi sırasında, IAM politikaları, kullanıcıların ve hizmetlerin yalnızca belirli rolleri ve işlevleri için gerekli minimum izinlerle sağlanmasını sağlamak için en az ayrıcalık ilkesine bağlı kalmayı doğrulamak için kapsamlı bir şekilde değerlendirilecektir.
Güvenlik Grubu ve Ağ ACL Yanlış Aydınlatmalar
A güvenlik grubu AWS kaynaklarına sanal bir güvenlik duvarı gibi davranır Elastik bulut hesaplaması (EC2) Kural setlerine dayalı gelen ve giden trafiği kontrol ederek örnekler. Oysa bir ağ Erişim Kontrol Listesi (ACL) tüm Amazon’a gelen ve giden kuralları uygular Sanal özel bulut (VPC) alt ağ veya alt ağ grubu.
Her iki güvenlik önleminin kuralları, trafik kaynağı ve hedef, protokol ve bağlantı noktası veya bağlantı noktası aralığı gibi kriterlere göre trafiğe izin vermenizi veya reddetmenizi sağlar.
Hem güvenlik grubunun hem de ACL’lerin yanlış yapılandırmaları, filtrelenmemiş giriş ve çıkış ağı trafiğine neden olabilir ve dahili uygulamalar veya veritabanları gibi kritik sistemlerin yetkisiz erişimine yol açabilir. Aşırı kısıtlayıcı yapılandırmalar, meşru kullanıcıları veya kaynakların gerekli kaynaklara erişmesini engelleyebilecekleri kadar sorunlu olabilir.
Hackerone güvenlik değerlendirmesinin bir parçası olarak, güvenlik grupları ve ağ erişim kontrol listeleri (NaCL’ler) olası yanlış yapılandırmaları tanımlamak için titizlikle değerlendirilecektir. İnceleme, bu ağ kontrollerinin, kaynaklar için sağlam bir güvenlik duruşunu korumak için yetkisiz erişimi engellerken yalnızca gerekli trafiğe izin vererek en az ayrıcalık ilkesini uygulamasını sağlamaya odaklanacaktır.
S3 yanlış yapılandırmalar
Amazon Basit depolama hizmeti (S3), nesneleri depolamak için kaplar olarak “kovalar” kullanan bir AWS veri depolama hizmetidir.
Varsayılan olarak, yeni kovalar, erişim noktaları ve depolanmış nesneleri varsayılan olarak özeldir. Kamu erişimine erişim kontrol listeleri, erişim noktası politikaları ve kova politikaları aracılığıyla kovalara verilir.
Bununla birlikte, istemeden özel kovaları kamuya açık hale getirmek veya hassas bilgileri kamuya açık olması amaçlanan bir kovada saklamak, hassas verileri kovanın URL’sini elde edebilen herkese açıklayabilir ve önemli veri ihlallerine yol açabilir. Özel kovalar bile uygun kimlik doğrulama, şifreleme ve işlem izni yapılandırmaları olmadan tehlikeye atılabilir.
Bu tür veri ihlallerinin sonuçları finansal kayıplara, yasal sonuçlara, yasal uyum ihlallerine ve bir kuruluşun itibarına zarar verebilir.
S3 kovaları ayrıca bir alt alan devralması yapmak için de kullanılabilir. Bir alt alanda, bir alt alan adı artık kullanılmayan bir hizmete işaret ettiğinde bir alt alan devralma güvenlik açığı meydana gelir. Bu durumda, bu hizmet S3’tür.
Bir kova oluştururken, verilen ad, bir uç nokta olarak adlandırılan bir Amazon S3 URL’si ile birleştirilir.
Kovalara web üzerinden erişilebildiğinden, resimler, videolar ve hatta tüm statik web siteleri gibi web varlıklarını depolamak için kullanılabilir. Web sitelerini barındıracak şekilde yapılandırılmış kovalar için, kova adı bölgeye özgü uç noktaya alt alan olarak kullanılır. Bölgenize bağlı olarak, web sitesi uç noktası, bölge bölümünde sınırlayıcı karakteri olarak bir nokta veya tire kullanacaktır, örneğin:
- http: //[bucket-name].[s3-website–region].amazonaws.com
- http: //[bucket-name].[s3-website.region].amazonaws.com
Talep edildikten sonra, kova adı ayrılır ve orijinal kova silinmedikçe geri alınamaz. Daha sonra, kanonik S3 URL’sine keyfi bir alt alan adını takma adlı bir DNS CNAME kaydı oluşturulabilir.
Bir kuruluş bir kovayı siler ve ilişkili kova adı serbest bırakıldığında – CNAME kaydı da kaldırılmazsa, herkes kova adını geri alabilir ve orijinal kuruluşun alt alanındaki keyfi içeriği barındırabilir. Bu aynı zamanda, dış referansların hala şu anki alt alandan içerik kaynağı olduğu durumlarda ek güvenlik açıklarına da yol açabilir.
HackerOne’un güvenlik değerlendirmesi, potansiyel yanlış yapılandırmaları tanımlamak için S3 kova yapılandırmalarını inceleyerek, bulutta depolanan hassas verileri korumak için uygun erişim kontrollerinin, şifreleme ayarlarının ve sürümlerin mevcut olmasını sağlayacaktır.
Cloudtrail yanlış yakınlaştırmalar
Aws Cloudtrail AWS hesabınızdaki her kaynağa yapılan her API çağrısını izler ve günlüğe kaydeder, iç politikalara ve düzenleyici standartlara uyumu sağlayarak güvenliği artırır. Sürekli izleme sağlar ve şüpheli faaliyetleri tanımlamanıza olanak tanıyan etkinlik dosyaları oluşturur.
CloudTrail otomatik olarak etkinleştirilirken, varsayılan yapılandırma yalnızca yalnızca bir olay türündeki son 90 günlük olayların bir günlük dosyasını sağlar. Günlük dosyalarını devam ettirmek, tüm bölgelerdeki olayları günlüğe kaydetmek, ek olay türlerini günlüklendirmek, günlük dosyası bütünlüğünü etkinleştirmek ve saklandıkları S3 kovalarına erişim kontrolü uygulamak için manuel yapılandırmalar yapılmalıdır.
AWS Yapılandırma İncelemesi En İyi Uygulamalar
Dikkatli kapsam
Doğru kapsama sahip olmak başarılı bir pentest için çok önemlidir – test edilenler, nasıl test edildiği kadar önemli olabilir. Bir AWS ortamı, çeşitli kaynaklar ve hizmetler dağıtılmış olabilir. Bir AWS yapılandırma incelemesini, buluta sahip sistemler için hem dahili ağ hem de web uygulaması penetrasyon testi ile birleştirmek kapsamlı bir güvenlik değerlendirmesi sunar. Bu entegre yaklaşım, pentesterlere çevrenin bütünsel bir görünümünü sağlar ve daha etkili ve kapsamlı sonuçlara yol açar.
Bulut ortamınızdaki hedefleri stratejik olarak seçerek, kaliteli zamanın en kritik bulut varlıklarınıza adanmış olabileceğinden emin olabilirsiniz. Bu kürasyon, önemsiz bir yapılandırma incelemesi ile yüksek etkili güvenlik açıklarını keşfeden değerli bir inceleme arasındaki fark anlamına gelebilir. HackerOne, hangilerinin özel gereksinimlerinize göre uyarlanmış bir teklif ekleyeceği ve sunacağı konusunda rehberlik sağlamak için varlıklarınızı değerlendirir.
Beceri tabanlı test cihazı eşleşmesi
Geleneksel danışmanlıklar genellikle genel becerilere sahip şirket içi pentesterlere güvenir. Ancak, AWS yapılandırma incelemesi AWS ortamı ve bulut güvenlik uygulamaları hakkında özel bilgi gerektirir.
HackerOne ile müşteriler, çok çeşitli beceri, sertifika ve AWS’ye özgü deneyim getiren çeşitli seçkin, veteriner güvenlik araştırmacıları havuzuna erişirler. Hackerone platformu, her araştırmacının beceri setini geçmişe dayalı olarak izler ve her katılım için en uygun araştırmacıları eşleştirir. Topluluk odaklı PTAAS yaklaşımı, AWS ortamlarınızın ürün ve hizmetlerine göre uyarlanmış kapsamlı kapsam, çok yönlülük ve en kaliteli sonuçlar sunar.
Vaka çalışması: “düzensiz” bir ihlal
2019’da eski bir AWS mühendisi olan Paige Thompson, yanlış yapılandırılmış bir Web Uygulaması Güvenlik Duvarı (WAF) bir EC2 örneğinin Capital One’ın korunması. Bu, 106 milyon kişinin hassas özel kredi kartı başvuru verilerinin yayılmasına yol açtı.
WAF yanlış yapılandırması nedeniyle, harici kötü niyetli talepler dahili kaynaklara ulaşabildi. Çevrimiçi olarak “düzensiz” kullanıcı adından geçen Thompson, güvenlik duvarını atladıktan sonra AWS meta veri hizmetini sorgulayabildi. Meta veri hizmeti, rol için geçici bir erişim belirteci de dahil olmak üzere EC2 örneğine eklenen IAM rolü hakkında bilgi döndürdü. Kullanıcı rolü, Thompson’un hassas verileri içeren S3 kovalarını listelemesine ve erişmesine izin veren aşırı ayrıcalıklara sahiptir.
Veriler şifrelenmiş olsa da, rol de şifre çözülmesine izin verdi, bu da Thompson’un yaklaşık 700 S3 kova değerinde kredi kartı başvuru verisi indirmesine yol açtı.
AWS Cloud Review için Hackerone PTAAS
Hackerone’u Pentesting’de ortağınız olarak seçerek, kuruluşunuz topluluk güdümlü PTAAS modelinden tamamen yararlanabilir. HackerOne platformu, risk azaltma yatırımının en büyük getirisini sağlamak için tüm en pantolon süreci düzenler.
HackerOne’un AWS güvenlik merkezine entegrasyonu ile AWS müşterileri, tüm güvenlik açığı bulgularını yönetim ve önceliklendirme için tek bir konsolla senkronize edebilir. Güvenlik merkezi bulguları, kopyaları eşleştirmek, durumu anlamak ve düzeltmeyi planlamak için Hackerone topluluğu tarafından bulunanlarla da karşılaştırılabilir.
AWS sertifikalı güvenlik araştırmacıları topluluğumuz, AWS bulut ortam yapılandırmalarınızı güvenlik açıkları için kapsamlı bir şekilde denetlemek için gereken uzmanlığı getiriyor. Saldırı yüzeyi kapsamınızı genişletecek ve bulut yanlış yapılandırmalarından kaynaklanan güvenlik açıklarını ele alabilirsiniz. Farklı test uzmanlığı bulmak için en pentest satıcıları değiştirmek yerine, hepsini bu yetenekli sertifikalı hacker topluluğunda buluyorsunuz. Başlamak için bugün Hackerone ekibiyle iletişime geçin.