Pentesting Azure - أفكار حول الأمان في الحوسبة السحابية

قبل بضعة أشهر ، عملت مع عميل حول كيفية قيام فريق بتقييم أمان تطبيق Azure الخاص بهم. لم أقم أبدًا بإجراء اختبار أمني مكثف على تطبيق Azure من قبل ، لذلك كانت هذه الأفكار مجرد أفكار من أعلى رأسي في ذلك الوقت بناءً على تجربتي في مجال الأمن.

كتاب مات بيرو ، Pentesting Azure Application s ، يزداد عمقًا ويجب قراءته لخبراء الأمن الذين يركزون على الحوسبة السحابية ، وأنا أقرأه الآن.

فيما يلي أشارككم أفكار ما قبل الكتاب هذه ، وسأقارنها في مقال مستقبلي بالأفكار التي سأتعلمها - أو أؤكدها - بعد قراءة كتاب مات.

الأصل في المتوسط

إذن هنا قائمة الأفكار حول أمان Azure التي كانت لدي قبل قراءة كتاب Matt. لا تتردد في التعليق أدناه حول الأشياء الأخرى التي يجب على مستخدمي Azure فحصها للتأكد من أن نشر Azure آمن.

1. لا تختبر البنية التحتية Azure. هذا يعد انتهاكًا لاتفاقية المستخدم الخاصة بـ Azure وسيصطحبك إلى الماء الساخن مع Microsoft. لا أحد يريد ذلك.
2. كن حذرًا للغاية في اختبار الأشياء الموجودة في نطاق عميلك.
3. هل تم تشغيل Azure Security Center ؟ إذا لم يكن كذلك ، قم بتشغيله . أنا تصاعدي.
4. هل تعمل جميع الاشتراكات / الاشتراكات الفرعية؟ هل لديك تغطية كاملة؟ إن لم يكن ، بالتأكيد الإبلاغ عن ذلك.
5. هل هناك مجموعة سياسة (الإعدادات التي اختارتها المؤسسة باعتبارها "آمنة" ، مثل يجب أن تكون جميع وحدات التخزين مشفرة في بقية)؟ إذا كان الأمر كذلك ، ما هي الإعدادات؟ هل تبدو جيدة؟ أيضا ، ما هو مستوى الامتثال لديهم؟ يجب الإبلاغ عن كل شيء غير متوافق.
6. هل تم إعداد الحماية من التهديدات (التخزين وقواعد البيانات فقط) والمراقبة والتدقيق على كل مورد ممكن؟ إذا لم يكن كذلك ، الإبلاغ عنها.
7. انظر إلى الشبكة ، بنفس الطريقة التي تنظر بها إلى الشبكة التقليدية ، فهل هناك شيء في غير محله؟ أيضا ، هل يفعلون تقسيم المناطق أو الصفر الثقة أو أي شيء آخر؟ ما هو نموذج أمان الشبكة الذي يستخدمونه؟ تأكد من أنها متوافقة مع الخطة الخاصة بهم. اطلب منهم ما هي خطتهم لبدء شبكتهم. إذا لم يكن لديهم إجابة ، فهذه مشكلة أخرى تمامًا.
8. هل لديهم "في الوقت المناسب" (JIT) إعداد على جميع المنافذ على جميع الخوادم / VMs؟ أم أنها تستخدم JumpBox للوصول إلى VMs من خارج Azure؟ أم أن ذلك غير مسموح به على الإطلاق؟ يجب أن يستخدموا JIT و Network Security Groups (NSGs) لكل شيء *.
9. هل لديهم تمكين التطبيق القائمة البيضاء على VMs؟ يطلق عليه " عناصر التحكم في التطبيق التكيفي" ، وهو موجود مباشرةً أسفل JIT في قائمة مركز الأمان (ASC) ، ضمن "Advanced Cloud Defense". يجب أن يكونوا قيد التشغيل لخوادم * all *.
10. هل يستخدمون نظام إدارة الحوادث والحدث الأمني ​​(SIEM)؟ هل يستخدمونها بشكل جيد؟ هل يراقبونه؟ ما نوع التغطية التي تحصل عليها؟ هل تغذي ASC فيه؟ يجب أن.
11. هل يستخدمون WAF (جدار حماية تطبيق الويب)؟ إذا كان الأمر كذلك ، اختباره. إذا لم تكن كذلك ، فاحسبها كنصائح للتحسين.
12. هل هناك أي أدوات أمان خاصة بطرف ثالث (IPS / IDS / HIPS / Other)؟ إذا كان الأمر كذلك ، هل يحصل هؤلاء على تغطية كاملة لجميع الأصول التي يغطيها هذا الاختبار؟ وهل تم تكوينها بشكل جيد؟
13. انظر في علامة التبويب "توصيات" في Azure Security Center وسيخبرك بجميع المشكلات (مشكلات الشبكة ، أخطاء التكوين ، التصحيحات المفقودة ، أكثر) التي لم تكتشفها بعد. حقا ، من المحتمل أن تبدأ هنا. هذه قائمة بكل ما لا يتوافق مع سياستك ، حسب الأهمية.
14. إذا كنت تقوم بتقييم تطبيقات الويب ضمن Azure وواجهات برمجة التطبيقات والوظائف (بدون خادم) ، فهذا موضوع آخر تمامًا ، ولكن جميع قواعد اختبار الأمان العادية ستنطبق ، أو Azure.
15. إذا كانت مؤسستك تستخدم Azure DevOps ، أقترح إضافة العديد من اختبارات الأمان إلى خط أنابيبك بما في ذلك Azure Secure DevOps Kit . انها صارمة. من المحتمل أنك لن تمر في المرات القليلة الأولى ، لذا قم بإعداد مطوري البرامج لقليل من الإحباط. هناك عدد كبير من الأدوات الأمنية الرائعة في سوق أزور ، أضف بعضًا منها ، واحد لا يكفي.
16. قم بتشغيل VA for SQL DataBases كجزء من حماية Azure Threat ، وابدأ عملية المسح على الفور لمعرفة ما إذا كان هناك أي شيء يحدث. سيكون على الأرجح الكثير من النصائح لك.
17. ابحث في جزء "الكشف عن التهديد" في "مركز الأمان" ، تحقق من عدم وجود هجمات نشطة أو هجمات حديثة ، تحقق وفقًا لذلك.

ترقبوا المزيد من النصائح (والأفضل على الأرجح) بعد أن قرأت كتاب مات بورو !