Geekly articles weekly

Pentesting Azure: pensamientos sobre seguridad en la computación en la nube

Hace unos meses trabajé con un cliente sobre cómo un equipo debería evaluar la seguridad de su implementación de Azure. Nunca antes había hecho un pentest (pruebas de seguridad exhaustivas) en una aplicación de Azure, por lo que estas ideas eran solo el pensamiento de mi cabeza en ese momento en función de mi experiencia en seguridad.

El libro de Matt Burrough , Pentesting Azure Application s, profundiza aún más y es una lectura obligada para expertos en seguridad centrados en Cloud Computing, lo estoy leyendo en este momento.

A continuación comparto con ustedes estos pensamientos previos a la reserva y los compararé en un artículo futuro con los que aprenderé, o confirmaré, después de leer el libro de Matt.


Original en medio

Así que aquí va la lista de pensamientos sobre la seguridad de Azure que tenía antes de leer el libro de Matt. Siéntase libre de comentar a continuación sobre otras cosas que los usuarios de Azure deben verificar para asegurarse de que su implementación de Azure sea segura.


  1. No pruebe la infraestructura de Azure. Eso es una violación del acuerdo de usuario para Azure y lo pondrá en apuros con Microsoft. Nadie quiere eso.
  2. Tenga mucho cuidado de probar solo las cosas que están EN ALCANCE para su cliente.
  3. ¿Está activado el Centro de seguridad de Azure ? Si no, enciéndelo . Yo ASC.
  4. ¿Todas las suscripciones / suscripciones están activadas? ¿Tiene cobertura completa? Si no, definitivamente repórtalo.
  5. ¿Existe un conjunto de políticas (configuraciones que la organización ha elegido como "seguras", como que todo el almacenamiento debe cifrarse en reposo)? Si es así, ¿cuáles son las configuraciones? ¿Se ven bien? Además, ¿qué nivel de cumplimiento tienen? Todo lo que no cumpla debe ser reportado.
  6. ¿La protección contra amenazas (solo almacenamiento y bases de datos), monitoreo y auditoría están configurados en todos los recursos posibles? Si no, repórtalo.
  7. Mire la red, de la misma manera que lo haría con una red tradicional, ¿hay algo fuera de lugar? Además, ¿están haciendo Zonificación o Confianza cero o algo más? ¿Qué modelo de seguridad de red están usando? Asegúrese de que cumplan con su propio plan. Pregúnteles cuál es su plan para que comience su red. Si no tienen una respuesta, ese es otro problema por completo.
  8. ¿Tienen "justo a tiempo" (JIT) configurado en todos los puertos en todos los servidores / VM? ¿O están usando un JumpBox para acceder a máquinas virtuales desde fuera de Azure? ¿O eso no está permitido en absoluto? Deben usar JIT y grupos de seguridad de red (NSG) para * todo *.
  9. ¿Tienen habilitada la lista blanca de aplicaciones en las máquinas virtuales? Se llama Adaptive Application Controls , y está justo debajo de JIT en el menú del centro de seguridad (ASC), en "Advanced Cloud Defense". Deberían tener eso activado para * todos * los servidores.
  10. ¿Están utilizando un SIEM (sistema de gestión de incidentes y eventos de seguridad)? ¿Lo están usando bien? ¿Lo están monitoreando? ¿Qué tipo de cobertura está recibiendo? ¿ASC lo alimenta? Debería
  11. ¿Están utilizando un WAF (Firewall de aplicaciones web)? Si es así, pruébalo. Si no lo están, márquelo como un consejo para mejorar.
  12. ¿Alguna otra herramienta de seguridad de terceros (IPS / IDS / HIPS / Otro)? Si es así, ¿están obteniendo cobertura completa de todos los activos cubiertos por esta prueba? ¿Y están bien configurados?
  13. Mire en la pestaña "Recomendaciones" de Azure Security Center y le dirá todos los problemas (problemas de red, errores de configuración, parches faltantes, más) que aún no ha detectado. Realmente, es probable que puedas comenzar aquí. Esta es una lista de todo lo que no cumple con su política, en orden de importancia.
  14. Si está evaluando aplicaciones web dentro de Azure, API y funciones (sin servidor), ese es un tema completamente diferente, pero se aplicarían todas las reglas de prueba de seguridad regulares, Azure o no.
  15. Si su organización usa Azure DevOps, le sugiero que agregue varias pruebas de seguridad a su canalización, incluido el kit Azure Secure DevOps . Es estricto; probablemente no pasarás las primeras veces, así que prepara a tus desarrolladores para un poco de decepción. Hay un MONTÓN de excelentes herramientas de seguridad en Azure Marketplace, agregue algunas, una no es suficiente.
  16. Active VA para bases de datos SQL como parte de la Protección contra amenazas de Azure y comience un escaneo de inmediato para ver si sucede algo. Es probable que tenga muchos consejos para ti.
  17. Mire en la parte de Detección de amenazas del Centro de seguridad, verifique que no haya ataques activos o recientes, investigue en consecuencia.

¡Estén atentos para obtener más (y probablemente mejores) consejos después de leer el libro de Matt Burrough !

Source: https://habr.com/ru/post/441450/

More articles:


All Articles